如何在 Windows 11/10 上以工作组模式跟踪用户活动

Windows中的多用户功能使我们能够在学校、学院、办公室等公共场所方便地使用它。在这些地方,通常有一个管理员,他设法密切关注在其中工作的用户的活动。有时,用户会超出其限制并修改在工作组(Workgroup)模式下配置的帐户。这可能会产生安全影响,因此我们应该配置Windows以跟踪用户活动。

通过配置Windows来监控用户活动,我们可以提高管理的安全性,还可以通过观察受害者的记录来惩罚受害用户,以防万一。在本文中,我们将告诉您使用审核策略在Windows 11/10/8.1/8/7方法如下:

(Track User Activity)在工作组模式下(WorkGroup Mode)使用审核策略跟踪用户活动

1.Windows Key + R组合,在运行(Run) 对话框中键入 put secpol.msc ,然后(secpol.msc)按 Enter(Enter)打开本地安全策略(Local Security Policy)

Track-User-Activity-In-Windows-8.1-In-WorkGroup-Mode

2.本地安全策略(Local Security Policy)窗口中,展开安全设置(Security Settings)>本地策略(Local Policies)>审核策略(Audit Policy)。现在你应该让你的窗口与这个类似:

Track-User-Activity-In-Windows-8.1-In-WorkGroup-Mode-2

3.在右侧窗格中,您可以看到9 Audit...[]策略将无审核(No auditing)作为预定义的(pre-defined)安全设置。逐一单击(Click one)所有策略并选择成功(Success)失败(Failure),单击应用( Apply),然后为每个策略单击确定(OK)

Track-User-Activity-In-Windows-8.1-In-WorkGroup-Mode-3

通过这种方式,我们将配置Windows以跟踪用户活动。

按照以下步骤获取跟踪记录:

使用事件查看器跟踪用户活动(Trace User Activity Using Event Viewer)

1.Windows Key + R组合,在运行(Run) 对话框中输入put  eventvwr并按(eventvwr)Enter打开事件查看器(Event Viewer)

Track-User-Activity-In-Windows-8.1-In-WorkGroup-Mode-4

2.现在,在事件查看(Event Viewe)器窗口的左窗格中,选择Windows 日志(Windows Logs)>安全性(Security)。在这里,Windows 会记录有关安全的每个事件。

Track-User-Activity-In-Windows-8.1-In-WorkGroup-Mode-5

3.从中心窗格中,单击任何事件以获取其信息:

Track-User-Activity-In-Windows-8.1-In-WorkGroup-Mode-6

现在,这里是涵盖工作组模式中帐户的用户活动的事件ID列表:(IDs)

1.创建用户:(Create User:)以下是创建用户时记录的事件 ID(Event IDs)

  • 事件 ID:(Event ID: ) 4728 | 类型:(Type: )审核成功 | 类别:(Category: )安全组管理 | 说明:(Description: )已将成员添加到启用安全性的全局组中。
  • 事件 ID:(Event ID: ) 4720 | 类型:(Type: )审核成功 | 类别:(Category: )用户帐户管理 | 描述:(Description: )创建了一个用户帐户。
  • 事件 ID:(Event ID: ) 4722 | 类型:(Type: )审核成功 | 类别:(Category: )用户帐户管理 | 说明:(Description: )已启用用户帐户。
  • 事件 ID:(Event ID: ) 4738 | 类型:(Type: )成功审计 | 类别:(Category: )用户帐户管理 | 说明:(Description: )用户帐户已更改。
  • 事件 ID:(Event ID: ) 4732 | 类型:(Type: )成功审计 | 类别: (Category: )安全组管理 | 说明:(Description: )成员已添加到启用安全性的本地组。

2.删除用户:(Delete User: )以下是删除用户时记录的事件 ID(Event IDs)

  • 事件 ID:(Event ID: ) 4733 | 类型:(Type: )成功审计 | 类别: (Category: )安全组管理 | 说明:(Description: )已从启用安全性的本地组中删除成员。
  • 事件 ID:(Event ID: ) 4729 | 类型:(Type: )成功审计 | 类别: (Category: )安全组管理 | 说明:(Description: )已将成员添加到启用安全性的全局组中。
  • 事件 ID:(Event ID: ) 4726 | 类型:( Type: )成功审计 | 类别: (Category: )用户帐户管理 | 描述:(Description: )用户帐户已被删除。

3.禁用用户帐户:(User Account Disabled: )以下是禁用用户时记录的事件 ID(Event IDs)

  • 事件 ID:(Event ID: ) 4725 | 类型:(Type: )成功审计 | 类别: (Category: )用户帐户管理 | 说明:(Description: )用户帐户被禁用。
  • 事件 ID:(Event ID: ) 4738 | 类型:(Type: )成功审计 | 类别: (Category: )用户帐户管理 | 说明:(Description: )用户帐户已更改。

4.启用用户帐户:(User Account Enabled: )以下是启用用户时记录的事件 ID(Event IDs)

  • 事件 ID:(Event ID: ) 4722 | 类型:(Type: )成功审计 | 类别: (Category: )用户帐户管理 | 说明:(Description: )已启用用户帐户。
  • 事件 ID:(Event ID: ) 4738 | 类型:(Type: )成功审计 | 类别: (Category: )用户帐户管理 | 说明:(Description: )用户帐户已更改。

5.用户帐户密码重置:(User Account Password Reset: )以下是用户(User Account Password)帐户密码重置时记录的事件 ID(Event IDs)

  • 事件 ID:(Event ID: ) 4738 | 类型:(Type: )成功审计 | 类别: (Category: )用户帐户管理 | 说明:(Description: )用户帐户已更改。
  • 事件 ID:(Event ID: ) 4724 | 类型:(Type: )成功审计 | 类别: (Category: )用户帐户管理 | 描述:(Description: )试图重置帐户的密码。

6.用户帐户配置文件路径集:(User Account Profile Path Set: )以下(Below)是为用户帐户设置配置文件路径(Profile Path)时记录的事件 ID(Event ID)

  • 事件 ID:(Event ID: ) 4738 | 类型:(Type: )成功审计 | 类别: (Category: )用户帐户管理 | 说明:(Description: )用户帐户已更改。

7.用户帐户重命名:(User Account Rename: )以下是用户(User Account)帐户重命名时记录的事件 ID(Event IDs)

  •  事件 ID:(Event ID: ) 4781 | 类型:(Type: )成功审计 | 类别: (Category: )用户帐户管理 | 描述:(Description: )帐户名称已更改。
  • 事件 ID:(Event ID: ) 4738 | Type: 成功审计 | 类别: (Category: )用户帐户管理 | 说明:(Description: )用户帐户已更改。

8.创建本地组:(Create Local Group: )以下是创建本地(Local Group)组时记录的事件 ID(Event IDs)

  • 事件 ID:(Event ID: ) 4731 | 类型:(Type: )成功审计 | 类别: (Category: )安全组管理 | 说明:(Description: )已创建启用安全性的本地组
  • 事件 ID:(Event ID: ) 4735 | 类型:(Type: )成功审计 | 类别: (Category: )安全组管理 | 说明:(Description: )已更改启用安全性的本地组

9.将用户添加到本地组:(Add User to Local Group: )以下(Below)是将用户添加到本地(Local)组时记录的事件 ID(Event ID)

  • 事件 ID:(Event ID: ) 4732 | 类型:(Type: )成功审计 | 类别: (Category: )安全组管理 | 说明:(Description: )已将成员添加到启用安全性的本地组

10.从本地组中删除用户:(Remove User from Local Group: )以下(Below)是 从本地(Local)组中删除用户时记录的事件 ID(Event ID)

  • 事件 ID:(Event ID: ) 4733 | 类型:(Type:)成功审计 | 类别:(Category:) 安全组管理 | 说明:(Description:)已从启用安全性的本地组中删除成员

11.删除本地组:(Delete Local Group: )以下(Below)是删除本地(Local Group)组时记录的事件 ID(Event ID)

  • 事件 ID:(Event ID: ) 4734 | 类型:(Type: )成功审计 | 类别: (Category: )安全组管理 | 说明:(Description: )已删除启用安全性的本地组

12.重命名本地组:(Rename Local Group: )以下是重命名本地(Local Group)时记录的事件 ID(Event IDs)

  • 事件 ID:(Event ID: ) 4781 | 类型:(Type: )成功审计 | 类别: (Category: )用户帐户管理 | 描述:(Description: )帐户名称已更改
  • 事件 ID:(Event ID: ) 4735 | 类型:(Type: )成功审计 | 类别: (Category: )安全组管理 | 说明:(Description: )已更改启用安全性的本地组

通过这种方式,您可以跟踪用户的活动。本文适用于工作组模式下的(Workgroup Mode)Windows 11/10/8.1。对于 Active Directory 域(Directory Domain),过程会有所不同。



宁 史

About the author

在商业和技术方面,Windows 10 和 Windows 11/10 是非常重要的工具。它们使您可以比以往更轻松、更安全地与计算机交互,并运行功能强大但可自定义的应用程序,而不会带来任何安全风险。这些工具对于希望能够扩大其在线业务并吸引新客户的企业来说也是必不可少的。因此,我会说我在 Windows 10 和 Windows 11/10 方面的技能使我成为此类工作或业务的理想人选。


Related posts