Win10审核功能,会跟踪并记录系统使用事件,我们可以根据系统运行状态对故障进行排除,还可以监视用户在计算机上进行的操作。本站这篇文章就是给大家带来的Win10本地组策略开启审核策略教程。
1、通过组策略开启登录审核功能
默认情况下,登录审核策略是处于关闭状态的,所以我们需要打开。打开方法为:按 Win + R 组合键,打开运行,并输入:gpedit.msc 命令,确定或回车可以快速打开本地组策略编辑器;
本地组策略编辑器窗口中,依次展开到:计算机配置 – Windows 设置 – 安全设置 – 本地策略 – 审核策略,就会显示有关审核策略的项;
双击打开审核的相关策略,可以在属性中,勾选审核这些操作下,同时将成功和失败勾选上,最后点击确定即可,有需要注意的是审核登录事件和审核账户登录事件;
2、通过事件查看器查看非法登录
按 Win + X 组合键,或右键点击左下角的开始菜单,在打开的隐藏菜单项中,选择事件查看器(V)即可;
事件查看器窗口中,依次展开到:Windows 日志 – 安全,其中中间显示的内容,就有很多具有登录日期和时间戳的条目(由于每次Windows 登录时都会记录登录信息,所以可以用来判断系统被执行登录操作的时间);
随便双击个事件,可以在属性窗口中,查到比较多的信息,根据这些信息,可以帮助我们更快、更准确的定位和了解系统登录时的情况;
不过,在计算机中毒的时候,这些系统登录日志有可能会被删除,所以,为了避免这种情况发生,可以通过修改注册表,让系统记住上次登录的事件,并且使这些信息不被删除。
按 WIn + R 组合键,打开运行,并输入:regedit 命令,确定或回车,可以快速打开注册表编辑器,然后在注册表编辑器窗口中,依次展开到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
右键点击 System 项,在打开的菜单项中,选择新建 – DWORD (32位)值(D);
最后,将刚才新建的值命名为 DisplayLastLogonInfo ,然后编辑这个 DWORD (32位)值(D) 值,将数值数据修改成 1 ,最后点击即可;
这样设置以后,下次登录计算机的时候,就会看到上次登录 Windows 的时间以及任何尝试的失败记录,不论是自己登录系统还是陌生人登录系统的记录,都会有所记录和提示
提示:以上文章的修改针对win10专业版,而win10家庭版,虽然没有内置组策略功能,但由于开启了审核功能和事件跟踪,因此不用执行上以上步骤,也是不会影响查看和跟踪事件
安全审核无论对于个人计算机还是企业的系统,都非常重要。由于审核日志能够记录是否有违反安全的事件发生,如果遭到入侵,正确的审核日志设置所生成的事件记录,将包含非常有用的入侵信息,为进一步研判入侵事件提供重要的依据,因此,对资料安全比较敏感的个人或部门,要充分用好这一特性设置。以上就是Win10本地组策略开启审核策略|禁止删除事件日志文章,如果这篇文章的方法能帮到你,那就收藏65路由网站,在这里会不定期给大家分享常用装机故障解决方法。