Контролировать когда, под каким пользователем и с какого хоста был осуществлён вход на Windows Server можно встроенными средствами ОС. Также можно следить за тем, кто и когда пытался войти в систему, но безуспешно. По умолчанию эти средства контроля в Windows Server отключены. Настраиваем всё необходимое.
- Заходим в Редактор локальной групповой политики: в окне Выполнить набираем команду
gpedit.msc
и нажимаем Enter.
- В открывшемся окне Редактор локальной групповой политики переходим в раздел «Политика Локальный компьютер» > «Конфигурация компьютера» > «Конфигурация Windows» > «Параметры безопасности» > «Локальные политики» > «Политика аудита».
- В правой части окна поочерёдно открываем политики «Аудит входа в систему», ставим обе галочки «Успех» и «Отказ», далее делаем тоже самое для политики «Аудит событий входа в систему».
- На всякий случай в том же окне Выполнить набираем команду
gpupdate /force
Она пришла к нам из мира контроллеров доменов, но я по привычке ввожу её каждый раз после любого изменения политик.
- На этом работа с Локальными политиками завершена.
- Идём в Журнал событий Windows для проверки работоспособности (если у Вас вход/выход пользователей происходит крайне редко, попробуйте сами выйти из системы и зайти снова): в окне Выполнить вводим команду
eventvwr.msc
- Двигаемся к следующему разделу: «Просмотр событий (Локальный)» > «Журналы Windows» > «Безопасность». Здесь мы видим множество событий.
Итак, кликаем на событие с Категорией задачи «Вход в систему» (код события 4624). Что мы можем узнать об этом событии:Новый вход: ИД безопасности: SRV\UserAccount Имя учетной записи: UserAccount Домен учетной записи: SRV Код входа: 0x6cdb7f203 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: UserHost Сетевой адрес источника: 192.168.1.14 Порт источника: 51626→ Новый вход — данные о пользователе, под которым выполнен вход в систему.
→ Сведения о сети — NetBIOS имя ПК, с которого был осуществлён вход, его IP адрес и порт.
→ Дата (в нижней части окна) — дата и время возникновения события.
Точно также будет выглядеть отчёт о неудачном входе в систему, что в последствии может помочь получить хоть какую-то информацию о злоумышленниках, который пытаются получить несанкционированный доступ к Вашему Windows Server.