Win10審核功能,會跟蹤并記錄系統使用事件,我們可以根據系統運行狀態對故障進行排除,還可以監視用戶在計算機上進行的操作。本站這篇文章就是給大家帶來的Win10本地組策略開啟審核策略教程。
1、通過組策略開啟登錄審核功能
默認情況下,登錄審核策略是處于關閉狀態的,所以我們需要打開。打開方法為:按 Win + R 組合鍵,打開運行,并輸入:gpedit.msc 命令,確定或回車可以快速打開本地組策略編輯器;
本地組策略編輯器窗口中,依次展開到:計算機配置 - Windows 設置 - 安全設置 - 本地策略 - 審核策略,就會顯示有關審核策略的項;
雙擊打開審核的相關策略,可以在屬性中,勾選審核這些操作下,同時將成功和失敗勾選上,最后點擊確定即可,有需要注意的是審核登錄事件和審核賬戶登錄事件;
2、通過事件查看器查看非法登錄
按 Win + X 組合鍵,或右鍵點擊左下角的開始菜單,在打開的隱藏菜單項中,選擇事件查看器(V)即可;
事件查看器窗口中,依次展開到:Windows 日志 - 安全,其中中間顯示的內容,就有很多具有登錄日期和時間戳的條目(由于每次Windows 登錄時都會記錄登錄信息,所以可以用來判斷系統被執行登錄操作的時間);
隨便雙擊個事件,可以在屬性窗口中,查到比較多的信息,根據這些信息,可以幫助我們更快、更準確的定位和了解系統登錄時的情況;
不過,在計算機中毒的時候,這些系統登錄日志有可能會被刪除,所以,為了避免這種情況發生,可以通過修改注冊表,讓系統記住上次登錄的事件,并且使這些信息不被刪除。
按 WIn + R 組合鍵,打開運行,并輸入:regedit 命令,確定或回車,可以快速打開注冊表編輯器,然后在注冊表編輯器窗口中,依次展開到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
右鍵點擊 System 項,在打開的菜單項中,選擇新建 - DWORD (32位)值(D);
最后,將剛才新建的值命名為 DisplayLastLogonInfo ,然后編輯這個 DWORD (32位)值(D) 值,將數值數據修改成 1 ,最后點擊即可;
這樣設置以后,下次登錄計算機的時候,就會看到上次登錄 Windows 的時間以及任何嘗試的失敗記錄,不論是自己登錄系統還是陌生人登錄系統的記錄,都會有所記錄和提示
提示:以上文章的修改針對win10專業版,而win10家庭版,雖然沒有內置組策略功能,但由于開啟了審核功能和事件跟蹤,因此不用執行上以上步驟,也是不會影響查看和跟蹤事件
安全審核無論對于個人計算機還是企業的系統,都非常重要。由于審核日志能夠記錄是否有違反安全的事件發生,如果遭到入侵,正確的審核日志設置所生成的事件記錄,將包含非常有用的入侵信息,為進一步研判入侵事件提供重要的依據,因此,對資料安全比較敏感的個人或部門,要充分用好這一特性設置。以上就是Win10本地組策略開啟審核策略|禁止刪除事件日志文章,如果這篇文章的方法能幫到你,那就收藏白云一鍵重裝系統網站,在這里會不定期給大家分享常用裝機故障解決方法。