چگونه بفهمیم کی چه زمانی وارد کامپیوترمان شده است؟
آیا تا به حال خواستهاید بدانید که چه اشخاصی در چه زمانهایی وارد کامپیوتر شما شدهاند؟ در نسخههای حرفهای ویندوز میتوانید امکان بررسی ورود به ویندوز را فعال کنید تا ببینید کدام حسابهای کاربری در چه زمانهایی وارد سیستم شدهاند.
تنظیمات رویدادهای ورود برای هر دو حالت ورودهای محلی و ورودهای تحت شبکه قابل انجام است. در هر رویداد ورود، نام کاربر و زمان این ورود به ثبت میرسد. علاوه بر این میتوانید ببینید که کاربران چه زمانی از سیستم خارج شدهاند.
نکته: بازرسی ورود فقط در نسخهی حرفهای ویندوز کار میکند. پس اگر ویرایش ویندوز شما خانگی است، نمیتوانید از این قابلیت استفاده کنید. این ویژگی بر روی ویندوز ۷، ۸ و حتی ویندوز ۱۰ هم کار میکند اما ممکن است تنظیمات آن در نسخههای مختلف تفاوتهایی داشته باشد.
فعال کردن بازرسی ورود
ابتدا با فشار کلید ویندوز و تایپ gpedit.msc ویرایشگر سیاست گذاری گروههای محلی را باز کنید. (علاوه بر این اگر مدیر شبکههای ورود متمرکز هستید میتوانید بازرسی رویداد ورود را در کنترل کنندهی دامنه فعال کنید.)
به مسیر زیر بروید: Local Computer Policy –> Computer Configuration –> Windows Settings –> Security Settings –> Local Policies –> Audit Policy
برای تعیین گزینههای آن با دوبار کلیک کردن در پنل سمت راست بخش تنظیمات سیاست گذاری رویدادهای ورود را باز کنید. در پنجرهی Properties، گزینهی Success را تیک بزنید تا ورودهای موفق ثبت شوند. برای ثبت ورودهای ناموفق هم میتوانید گزینهی Failure را فعال کنید.
نمایش رویدادهای ورود
بعد از فعال کردن این تنظیمات، ویندوز رویدادهای ورود را به همراه نام کاربری و تاریخ و ساعت آن در لاگ امنیتی سیستم ذخیره میکند.
برای نمایش این رویدادها، کلید ویندوز را فشار داده و عبارت Event Viewer را تایپ کنید. سپس از میان نتایج Event Viewer را انتخاب کنید تا باز شود.
در Event Viewer به بخش Windows Logs –> Security category بروید.
به دنبال رویدادهایی با آیدی ۴۶۲۴ بگردید. این رویدادها در واقع همان ورودهای موفق هستند.
برای نمایش اطلاعات بیشتر مانند نام کاربری میتوانید بر روی آن رویداد دو بار کلیک کنید و درون جعبهی متن اسکرول کنید. (علاوه بر این میتوانید در جعبهی متن موجود در زیر لیست رویدادها هم اسکرول کنید.)
اگر لاگهای امنیتی شما به هم ریخته است، میتوانید از نوار کناری بر روی گزینهی Filter Current Log کلیک کنید و آنها را بر اساس آیدی ۴۶۲۴ فیلتر نمایید. با این کار فقط رویدادهای ورود به نمایش در میآیند.
با توجه به این که این رویدادها فقط رویدادهای دیگری با آیدی متفاوت در لاگ رویدادهای ویندوز هستند، میتوانید از Task Scheduler هم برای انجام امور مختلف در هنگام ثبت رویداد ورود استفاده کنید. علاوه بر این میتوانید تنظیمی اتخاذ کنید که با ثبت ورود به سیستم برای شما ایمیل ارسال شود.