Наверх

База знаний
Try 2 Fix
beta

Windows Server: Контроль доступа пользователей в систему

Контролировать когда, под каким пользователем и с какого хоста был осуществлён вход на Windows Server можно встроенными средствами ОС. Также можно следить за тем, кто и когда пытался войти в систему, но безуспешно. По умолчанию эти средства контроля в Windows Server отключены. Настраиваем всё необходимое.

  1. Заходим в Редактор локальной групповой политики: в окне Выполнить набираем команду
    gpedit.msc

    и нажимаем Enter.

  2. В открывшемся окне Редактор локальной групповой политики переходим в раздел «Политика Локальный компьютер» > «Конфигурация компьютера» > «Конфигурация Windows» > «Параметры безопасности» > «Локальные политики» > «Политика аудита».
  3. В правой части окна поочерёдно открываем политики «Аудит входа в систему», ставим обе галочки «Успех» и «Отказ», далее делаем тоже самое для политики «Аудит событий входа в систему».
  4. На всякий случай в том же окне Выполнить набираем команду
    gpupdate /force

    Она пришла к нам из мира контроллеров доменов, но я по привычке ввожу её каждый раз после любого изменения политик.

  5. На этом работа с Локальными политиками завершена.
  6. Идём в Журнал событий Windows для проверки работоспособности (если у Вас вход/выход пользователей происходит крайне редко, попробуйте сами выйти из системы и зайти снова): в окне Выполнить вводим команду
    eventvwr.msc
  7. Двигаемся к следующему разделу: «Просмотр событий (Локальный)» > «Журналы Windows» > «Безопасность». Здесь мы видим множество событий.
    Итак, кликаем на событие с Категорией задачи «Вход в систему» (код события 4624). Что мы можем узнать об этом событии:

    Новый вход:
    ИД безопасности: SRV\UserAccount
    Имя учетной записи: UserAccount
    Домен учетной записи: SRV
    Код входа: 0x6cdb7f203
    GUID входа: {00000000-0000-0000-0000-000000000000}
    
    Сведения о процессе:
    Идентификатор процесса: 0x0
    Имя процесса: -
    
    Сведения о сети:
    Имя рабочей станции: UserHost
    Сетевой адрес источника: 192.168.1.14
    Порт источника: 51626

    Новый вход — данные о пользователе, под которым выполнен вход в систему.
    Сведения о сети — NetBIOS имя ПК, с которого был осуществлён вход, его IP адрес и порт.
    → Дата (в нижней части окна) — дата и время возникновения события.

Точно также будет выглядеть отчёт о неудачном входе в систему, что в последствии может помочь получить хоть какую-то информацию о злоумышленниках, который пытаются получить несанкционированный доступ к Вашему Windows Server.

Остались вопросы?

Если в инструкции допущены ошибки или она Вам не помогла — пишите в нашу группу ВК! Мы обязательно поможем!

Или попробуйте найти интересующие Вас ответы в инструкциях на нашем YouTube канале!

Эти статьи будут Вам интересны

1С:Предприятие и PostgreSQL: Размещение базы данных 1С за пределами хранилища PostgreSQL

Вносить какие-то глобальные изменения сразу в работающую базу данных 1С:Предприятие - дело неблагодарное. Даже если у Вас есть резервные копии, понадобится время, чтобы восстановить их, а время для некоторых организаций критично. Поэтому лучше проводить отладку своих обработок на копии базы данных. Если это файловая версия - вообще нет никаких проблем. Если SQL - всё немного сложнее. А если ещё и закончилось место в хранилище баз данных СУБД, а расширять хранилище нет места/возможности - то это вообще проблема. Но мы поможем!

WannaCry: Автономные пакеты обновления Microsoft MS17-010

Про сам шифровальщик не слышал только мёртвый, поэтому без лишних слов ссылки на автономные пакеты обновлений Microsoft, закрывающие дыру, которую эксплуатирует WannaCry. Однако это не гарантирует 100% защиты!!! P.S. Забавно, что на 9 клиентских серверах и нескольких ПК я запустил простой поиск обновлений (через Панель управления > Центр обновления Windows), и ни на одном из них эти обновления не загрузились сами.

Пустой рабочий стол Windows после чистки ПК от вирусов

Различное рекламное и вирусное ПО всё чаще обходит защиту дорогостоящих антивирусов и проникает на наши ПК и ноутбуки. Тому, как от этого защититься посвящена наша отдельная статья. Если это уже произошло, то существует множество утилит, способных найти всех зловредов. Но зачастую случается ситуация, когда после перезагрузки ПК пользователь не обнаруживает не только сторонее ПО или баннеры, но и панель задач Windows и все ярлыки - рабочий стол абсолютно пустой. Исправляем сложившуюся ситуацию.