Eventviewer甚至可以锁定和解锁
use*_*194 53 windows event-viewer
事件查看器中的事件ID是什么,用于锁定,解锁Windows XP,Windows 7,Windows Vista和Windows Server 2008中的计算机?
era*_*ran 74
锁定事件ID为4800,解锁为4801.您可以在安全日志中找到它们.您可能必须使用本地安全策略(secpol.msc,Windows XP中的本地安全设置) - > 本地策略 - > 审核策略来激活其审核.对于Windows 10,请参见下图.
查看子类别:其他登录/注销事件下Windows 7和Windows Server 2008 R2中的安全事件描述.
- 谢谢!这正是我所寻找的,并且比其他类型的"审计登录事件"策略输出更容易捕获和分析.找到我的Windows 7本地安全策略"工具"的设置在"安全设置 - >高级审计策略配置 - >系统审计策略 - 本地组策略对象 - >登录/注销 - >审计其他登录/注销事件"下捕获锁定和解锁域上的工作站. (11认同)
Mar*_*rio 36
您需要启用这些事件的日志记录.通过打开组策略编辑器执行此操作:
运行 - > gpedit.msc
并配置以下类别:
计算机配置 - >
Windows设置 - >
安全设置 - >
高级审核策略配置 - >
系统审核策略 - 本地组策略对象 - >
登录/注销 - >
审核其他登录/注销事件
(在说明选项卡中,它说"...允许您审核......锁定和解锁工作站".)
- 很好的答案.我想你可以在这里找到同样的菜单以及本地安全策略编辑器,但我喜欢你如何通过`gpedit.msc`到达那里.方便小费! (2认同)
对于Windows的较新版本(包括但不限于Windows 10和Windows Server 2016),事件ID为:
- 4800-工作站被锁定。
- 4801-工作站被解锁。
锁定和解锁工作站还涉及以下登录和注销事件:
- 4624-一个帐户已成功登录。
- 4634-一个帐户已注销。
- 4648-尝试使用显式凭据登录。
使用终端服务会话时,如果会话断开连接,则锁定和解锁也可能涉及以下事件,并且事件4778可以代替事件4801:
- 4779-会话已从Window Station断开。
- 4778-会话重新连接到Window Station。
默认情况下,不审核事件4800和4801,并且必须使用本地组策略编辑器(gpedit.msc)或本地安全策略(secpol.msc)。
使用“本地组策略编辑器”的策略路径为:
- 本地计算机政策
- 电脑配置
- Windows设置
- 安全设定
- 高级审核策略配置
- 系统审核策略-本地组策略对象
- 登录/注销
- 审核其他登录/注销事件
使用“本地安全策略”的策略的路径是“本地组策略编辑器”的路径的以下子集:
- 安全设定
- 高级审核策略配置
- 系统审核策略-本地组策略对象
- 登录/注销
- 审核其他登录/注销事件
- “4648 - 使用显式凭据尝试登录”是我需要的神奇事件 ID,谢谢 (2认同)
不幸的是,没有锁定/解锁这样的东西。你需要做的是:
- 单击“过滤当前日志...”
- 选择 XML 选项卡并单击“手动编辑查询”
输入以下查询:
<查询列表> <查询 ID="0" 路径="安全"> <选择路径="安全"> *[EventData[Data[@Name='LogonType']='7'] 和 (系统[(EventID='4634')] 或系统[(EventID='4624')]) ]</选择> </查询> </查询列表>
就是这样
| 归档时间: |
|
| 查看次数: |
92625 次 |
| 最近记录: |