当前位置:首页 > win10常见问题 >

老鸟解答Win10本地组策略开启审核策略的完全操作教程

时间:2021-03-29 05:31:41 来源:www.win10xitong.com 作者:win10

有网友用win10系统的时候遇到过Win10本地组策略开启审核策略的问题,不知道大家是不是也遇到过,如果你是电脑小白的话,遇到了Win10本地组策略开启审核策略的问题肯定是不知道该怎么解决的。要是你想自己解决而不想找专业人士来解决的话,我们不妨试试这个方法:1、通过组策略开启登录审核功能2、通过事件查看器查看非法登录就好了。如果看得不是很懂,没关系,下面我们再一起来彻底学习一下Win10本地组策略开启审核策略的完全操作教程。

1、通过组策略开启登录审核功能

默认情况下,登录审核策略是处于关闭状态的,所以我们需要打开。打开方法为:按 Win + R 组合键,打开运行,并输入:gpedit.msc 命令,确定或回车可以快速打开本地组策略编辑器;

Win10本地组策略开启审核策略的完全操作教程

本地组策略编辑器窗口中,依次展开到:计算机配置 - Windows 设置 - 安全设置 - 本地策略 - 审核策略,就会显示有关审核策略的项;

Win10本地组策略开启审核策略的完全操作教程

双击打开审核的相关策略,可以在属性中,勾选审核这些操作下,同时将成功和失败勾选上,最后点击确定即可,有需要注意的是审核登录事件和审核账户登录事件;

Win10本地组策略开启审核策略的完全操作教程

2、通过事件查看器查看非法登录

按 Win + X 组合键,或右键点击左下角的开始菜单,在打开的隐藏菜单项中,选择事件查看器(V)即可;

Win10本地组策略开启审核策略的完全操作教程

事件查看器窗口中,依次展开到:Windows 日志 - 安全,其中中间显示的内容,就有很多具有登录日期和时间戳的条目(由于每次Windows 登录时都会记录登录信息,所以可以用来判断系统被执行登录操作的时间);

Win10本地组策略开启审核策略的完全操作教程

随便双击个事件,可以在属性窗口中,查到比较多的信息,根据这些信息,可以帮助我们更快、更准确的定位和了解系统登录时的情况;

Win10本地组策略开启审核策略的完全操作教程

不过,在计算机中毒的时候,这些系统登录日志有可能会被删除,所以,为了避免这种情况发生,可以通过修改注册表,让系统记住上次登录的事件,并且使这些信息不被删除。

按 WIn + R 组合键,打开运行,并输入:regedit 命令,确定或回车,可以快速打开注册表编辑器,然后在注册表编辑器窗口中,依次展开到:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Win10本地组策略开启审核策略的完全操作教程

右键点击 System 项,在打开的菜单项中,选择新建 - DWORD (32位)值(D);

Win10本地组策略开启审核策略的完全操作教程

最后,将刚才新建的值命名为DisplayLastLogonInfo ,然后编辑这个DWORD (32位)值(D) 值,将数值数据修改成 1 ,最后点击即可;这样设置以后,下次登录计算机的时候,就会看到上次登录 Windows 的时间以及任何尝试的失败记录,不论是自己登录系统还是陌生人登录系统的记录,都会有所记录和提示

Win10本地组策略开启审核策略的完全操作教程

提示:以上文章的修改针对win10专业版,而win10家庭版,虽然没有内置组策略功能,但由于开启了审核功能和事件跟踪,因此不用执行上以上步骤,也是不会影响查看和跟踪事件

安全审核无论对于个人计算机还是企业的系统,都非常重要。由于审核日志能够记录是否有违反安全的事件发生,如果遭到入侵,正确的审核日志设置所生成的事件记录,将包含非常有用的入侵信息,为进一步研判入侵事件提供重要的依据,因此,对资料安全比较敏感的个人或部门,要充分用好这一特性设置。以上就是Win10本地组策略开启审核策略|禁止删除事件日志文章。

回顾一下上面文章的内容,主要是非常详细的说了Win10本地组策略开启审核策略的完全操作教程,如果你还有疑问,欢迎给本站留言。

返回网站首页
分享到: