Os sistemas operacionais Windows possuem ferramentas que nos permitem realizar várias ações no sistema operacional, como restringir o acesso, impedir a modificação do programa, ocultar elementos do sistema e muito mais.
Uma das opções mais práticas e fundamentais para realizar uma gestão correta do sistema é verificar qual usuário acessou o sistema, a fim de verificar se alguma alteração não autorizada foi feita por alguém em particular ou mantendo um controle detalhado das tarefas de gestão, auditoria ou segurança.
A Solvetic irá analisar como podemos observar quais usuários acessaram o sistema operacional com informações detalhadas de acesso. Com o seguinte vídeo tutorial, você poderá se ajudar, por meio de auditorias, a verificar quem e a que horas se conectou a um computador que você gerencia e, assim, evitar ou resolver problemas de segurança no Windows 10.
1. Habilite a auditoria de logon no Windows 10
A primeira etapa a ser executada é habilitar o registro de eventos associados a inicializações, que por padrão está desabilitado no Windows. Para isso, devemos acessar o editor de políticas de grupo que está disponível apenas para as edições Pro, Enterprise e Education do Windows 10, as versões Pro e Enterprise do Windows 7 e Windows 8.
Passo 1
Para acessá-los, usaremos a seguinte combinação de teclas e na janela exibida executaremos o comando gpedit.msc. Pressionamos Enter ou Aceitar.
+ R
gpedit.msc
Passo 2
Na janela exibida, vamos para a seguinte rota:
- Configuração de equipamento
- Configurações do Windows
- Configurações de segurança
- Diretivas Locais
- Diretiva de auditoria
PROLONGAR
etapa 3
Na coluna da direita selecionaremos a política chamada Auditoria de eventos de login, clicaremos duas vezes sobre ela e será exibida a seguinte janela onde podemos ativar dois tipos de eventos de login:
CorretoQuando a sessão começa sem problemas
ErradoQuando a senha ou usuário é inserido incorretamente e a sessão não pode ser iniciada
Passo 4
Clique em Aplicar e OK para salvar as alterações. Podemos ver que a configuração foi feita corretamente:
PROLONGAR
2. Acesse eventos de logon no Windows 10
O próximo passo é acessar o Event Viewer que todas as edições do Windows trazem para analisar os respectivos logins.
Passo 1
Para acessar o visualizador de eventos, neste caso no Windows 10, temos as seguintes alternativas:
Passo 2
Assim que acessarmos o Event Viewer, iremos ao caminho "Windows Registers / Security" e veremos o seguinte:
PROLONGAR
etapa 3
Neste visualizador devemos nos concentrar no código 4624 que está associado aos logins e ao localizá-lo podemos clicar duas vezes nele para saber sua informação em detalhes:
Podemos encontrar detalhes como
- Nome da equipe
- Domínio ao qual pertence
- ID do evento selecionado
- Nível de prioridade do evento
- Do utilizador
- Data e hora em que o acesso ao sistema foi executado
- Equipamento afetado
Na parte superior, podemos exibir muitos mais detalhes associados à conta
Passo 4
Se não quisermos pesquisar manualmente os IDs associados aos logins, é possível criar uma visualização personalizada que filtra apenas esse evento. Para isso clicamos no botão Create custom view e lá selecionamos a opção Security na caixa Event logs e colocamos o ID no respectivo campo:
Etapa 5
Clique em OK, atribuiremos um nome a essa visualização e poderemos ver todos os eventos desse ID em particular:
PROLONGAR
Com este processo poderemos saber detalhadamente qual usuário e em que data exata acessou o sistema para tomar as medidas necessárias.
