呂梁

1.使用審核策略實現(xiàn)活動跟蹤

要實現(xiàn)活動跟蹤，首先需要啟用與此相關(guān)的本地安全策略。按下Win+R組合鍵啟動“運行”框，在“運行”框中輸入secpol.msc命令并回車運行，啟動“本地安全策略”窗口（圖1）。

在本地安全策略窗口中，從左側(cè)窗格中依次選擇“本地策略→審核策略”，在右側(cè)窗格中會看到9個不同的審核策略，這些策略的默認(rèn)“安全設(shè)置”均為“無審核”狀態(tài)（圖2）。

最后，一一雙擊這些策略，從“審核策略更改”操作窗口中，依次將這9個策略的審核操作選項“成功”和“失敗”均選中，然后單擊“應(yīng)用”按鈕并點擊“確定”（圖3）。設(shè)置之后的列表顯示狀態(tài)如圖所示（圖4）。

通過上述操作之后，Windows被配置為跟蹤用戶活動狀態(tài)。接下來就可以跟蹤用戶活動，并獲取跟蹤記錄了。

2.用事件查看器跟蹤查看用戶活動情況

按下Win+R組合鍵，在“運行”對話框中運行eventvwr命令，啟動事件查看器（圖5）。

在事件查看器的左側(cè)窗格中，依次選擇“Windows日志→安全”，之后，我們在中部窗格的記錄中，便可以看到Windows開始記錄所有與安全有關(guān)的事件（圖6）。

雙擊中部窗口中的任意事件，在彈出的“事件屬性”窗口內(nèi)，可看到事件舊信息（圖7）。根據(jù)事件舊的序號，可判斷創(chuàng)建組或用戶時記錄的事件。具體情況分為用戶管理、賬戶管理、組管理三類情況，分述如下：

要查看工作組中用戶的創(chuàng)建或刪除情況，可通過相應(yīng)的ID號來判斷。如果是在工作組中創(chuàng)建了用戶，就會出現(xiàn)4728、4720、4722、4738、4732等事件ID;若是刪除了用戶，就會出現(xiàn)4733、4729、4726等事件ID。具體情況見表（表1）。

要查看用戶賬戶的啟用、禁用、密碼重置、配置文件變動、賬戶更名等情況，只需通過如表中所示的與用戶賬戶相關(guān)的幾個ID事件，即可獲知具體情況（表2）。

有關(guān)本地組的變動情況，如創(chuàng)建本地組、刪除本地組、重命名本地組或從本地組刪除與添加用戶等活動，也可以通過如表中所示的一些舊事件的序號查看（表3）。