Funcionalidade multiusuário em janelas nos permitiu usá-lo convenientemente em locais públicos como escolas, faculdades, escritórios, etc. Nesses locais, geralmente há um administrador, que consegue ficar de olho nas atividades dos usuários que trabalham nele. Às vezes, os usuários vão além de seus limites e modificam contas configuradas no modo de grupo de trabalho. Isso pode ter repercussões de segurança e, portanto, devemos configurar janelas para rastrear as atividades do usuário.
Ao configurar o Windows para monitorar as atividades do usuário, podemos aumentar a segurança da administração e também punir os usuários da vítima, observando seus registros em caso de ofensa. Neste artigo, mostraremos a você como rastrear atividades de usuários em Windows 10 / 8.1 / 8/7 usando a política de auditoria. Aqui está como:
Controlar a atividade do usuário usando a política de auditoria
1. pressione Tecla do Windows + R combinação, tipo put secpol.msc em Corre caixa de diálogo e pressione Entrar para abrir o Política de segurança local.
2. No Política de segurança local janela, expanda Configurações de segurança -> Políticas locais -> Política de Auditoria. Agora você deve ter sua janela parecida com esta:
3. No painel direito, você pode ver 9 Auditar… políticas têm Sem auditoria Como pré-definido configuração de segurança. Clique uma por uma em todas as políticas e faça a seleção para Sucesso e Falhaclique Aplique Seguido por Está bem para cada política.
Siga estas etapas para obter os registros rastreados:
Rastrear a atividade do usuário usando o Visualizador de Eventos
1. pressione Tecla do Windows + R combinação, tipo put eventvwr in Corre caixa de diálogo e pressione Entrar para abrir o Visualizador de eventos.
2. Agora, no Viewe do eventor janela, no painel esquerdo, selecione Logs do Windows -> Segurança. Aqui o Windows mantém um registro de todos os eventos relacionados à segurança.
3. No painel central, clique em qualquer evento para obter suas informações:
1. Criar usuário: Abaixo estão os IDs de evento que são registrados quando o usuário é criado.
- ID do evento: 4728 | Tipo: Sucesso de Auditoria | Categoria: Gerenciamento do Grupo de Segurança | Descrição: Um membro foi adicionado a um grupo global habilitado para segurança.
- ID do evento: 4720 | Tipo: Sucesso de Auditoria | Categoria: Gerenciamento de conta de usuário | Descrição: Uma conta de usuário foi criada.
- ID do evento: 4722 | Tipo: Sucesso de Auditoria | Categoria: Gerenciamento de conta de usuário | Descrição: Uma conta de usuário foi ativada.
- ID do evento: 4738 | Tipo: Auditoria de Sucesso | Categoria: Gerenciamento de conta de usuário | Descrição: Uma conta de usuário foi alterada.
- ID do evento: 4732 | Tipo: Auditoria de Sucesso | Categoria:Gerenciamento do Grupo de Segurança | Descrição: Um membro foi adicionado a um grupo local habilitado para segurança.
2. Deletar usuário: Abaixo estão os IDs de evento que são registrados quando o usuário é excluído.
- ID do evento: 4733 | Tipo: Auditoria de Sucesso | Categoria:Gerenciamento do Grupo de Segurança | Descrição: Um membro foi removido de um grupo local habilitado para segurança.
- ID do evento: 4729 | Tipo: Auditoria de Sucesso | Categoria:Gerenciamento do Grupo de Segurança | Descrição: Um membro foi adicionado a um grupo global habilitado para segurança.
- ID do evento: 4726 | Tipo: Auditoria de Sucesso | Categoria:Gerenciamento de conta de usuário | Descrição: Uma conta de usuário foi excluída.
3. Conta de usuário desativada: Abaixo estão os IDs de Eventos que são registrados quando o usuário está desativado.
- ID do evento: 4725 | Tipo: Auditoria de Sucesso | Categoria:Gerenciamento de conta de usuário | Descrição: Uma conta de usuário foi desativada.
- ID do evento: 4738 | Tipo: Auditoria de Sucesso | Categoria:Gerenciamento de conta de usuário | Descrição: Uma conta de usuário foi alterada.
4. Conta de usuário habilitada: Abaixo estão os IDs de eventos que são registrados quando o usuário está habilitado.
- ID do evento: 4722 | Tipo: Auditoria de Sucesso | Categoria:Gerenciamento de conta de usuário | Descrição: Uma conta de usuário foi ativada.
- ID do evento: 4738 | Tipo: Auditoria de Sucesso | Categoria:Gerenciamento de conta de usuário | Descrição: Uma conta de usuário foi alterada.
5. Redefinição de senha da conta de usuário: Abaixo estão as identificações de evento que são registradas quando a senha da conta de usuário é redefinida.
- ID do evento: 4738 | Tipo: Auditoria de Sucesso | Categoria:Gerenciamento de conta de usuário | Descrição: Uma conta de usuário foi alterada.
- ID do evento: 4724 | Tipo: Auditoria de Sucesso | Categoria:Gerenciamento de conta de usuário | Descrição: Houve uma tentativa de redefinir a senha de uma conta.
6. Conjunto de caminhos de perfil de conta de usuário: Abaixo está o ID do evento que é registrado quando o caminho do perfil é definido para uma conta de usuário.
ID do evento: 4738 | Tipo: Auditoria de Sucesso | Categoria:Gerenciamento de conta de usuário | Descrição: Uma conta de usuário foi alterada.
7. Renomeação da conta de usuário: Abaixo estão as identificações de evento que são registradas quando a conta de usuário é renomeada.
- ID do evento: 4781 | Tipo: Auditoria de Sucesso | Categoria:Gerenciamento de conta de usuário | Descrição: O nome de uma conta foi alterado.
- ID do evento: 4738 | Tipo: Auditoria de Sucesso | Categoria:Gerenciamento de conta de usuário | Descrição: Uma conta de usuário foi alterada.
8. Criar grupo local: Abaixo estão os IDs de Eventos que são registrados quando o Grupo Local é criado.
- ID do evento: 4731 | Tipo: Auditoria de Sucesso | Categoria:Gerenciamento do Grupo de Segurança | Descrição: Um grupo local habilitado para segurança foi criado
- ID do evento: 4735 | Tipo: Auditoria de Sucesso | Categoria:Gerenciamento do Grupo de Segurança | Descrição: Um grupo local habilitado para segurança foi alterado
9. Adicionar usuário ao grupo local: Abaixo está o ID do evento que é registrado quando o usuário é adicionado ao grupo Local.
ID do evento: 4732 | Tipo: Auditoria de Sucesso | Categoria:Gerenciamento do Grupo de Segurança | Descrição: Um membro foi adicionado a um grupo local com segurança habilitada
10. Remover usuário do grupo local: Abaixo está o ID do evento que é registrado quando o usuário é removido do grupo local.
ID do evento: 4733 | Tipo: Auditoria de Sucesso | Categoria: Gerenciamento do Grupo de Segurança | Descrição: Um membro foi removido de um grupo local com segurança habilitada
11. Excluir grupo local: Abaixo está o ID do evento que é registrado quando o Grupo local é excluído.
ID do evento: 4734 | Tipo: Auditoria de Sucesso | Categoria:Gerenciamento do Grupo de Segurança | Descrição: Um grupo local com segurança habilitada foi excluído
12. Renomear grupo local: Abaixo estão os IDs de Eventos que são registrados quando o Grupo Local é renomeado.
- ID do evento: 4781 | Tipo: Auditoria de Sucesso | Categoria:Gerenciamento de conta de usuário | Descrição: Um nome de uma conta foi alterado
- ID do evento: 4735 | Tipo: Auditoria de Sucesso | Categoria:Gerenciamento do Grupo de Segurança | Descrição: Um grupo local habilitado para segurança foi alterado
Dessa forma, você pode rastrear usuários com suas atividades. Este artigo é aplicável para o Windows 10 / 8.1 no modo de grupo de trabalho. Para o domínio do Active Directory, o procedimento será diferente.
Posts relacionados:
- Event Log Manager: Software gratuito de gerenciamento de log de eventos
- Comandos do WMI no Windows 10/8/7
- O que é o AuditPol no Windows 10/8/7 e como ativá-lo
- Monitore seu computador e documentos usando a Diretiva de Grupo
- Dicas de Gerenciamento de Diretiva de Grupo para profissionais de TI no Windows
