Bạn có bao giờ tự hỏi liệu mình có thể theo dõi hoạt động đăng nhập của người dùng trong Windows để có thể có hồ sơ về người đã đăng nhập và khi họ đăng nhập không? Điều này là hoàn toàn có thể trong hệ thống Windows bằng cách sử dụng tính năng Kiểm tra đăng nhập. Theo dõi hoạt động đăng nhập và đăng xuất của người dùng rất hữu ích trong môi trường máy chủ hoặc tổ chức nơi dữ liệu được bảo mật và trong các tình huống mà bạn chỉ muốn biết “ai đã làm điều này” trong hệ thống Windows của bạn. Theo mặc định, tính năng Kiểm tra đăng nhập bị tắt trong Windows. Trong bài viết này, chúng ta hãy xem cách kích hoạt Kiểm tra đăng nhập và cách xem các sự kiện theo dõi đó trên một hệ thống Windows.

Lưu ý: Kiểm tra đăng nhập chỉ có sẵn trong phiên bản Pro, Ultimate và Enterprise của Windows 8.

Kiểm tra đăng nhập là gì

Kiểm tra đăng nhập là cài đặt chính sách nhóm Windows được cài sẵn cho phép quản trị viên Windows đăng nhập và kiểm tra từng trường hợp đăng nhập và đăng xuất của người dùng trên máy tính cục bộ hoặc qua mạng. Cùng với việc đăng nhập và đăng xuất khỏi sự kiện, tính năng này cũng có khả năng theo dõi mọi nỗ lực đăng nhập không thành công. Điều này đặc biệt hữu ích trong việc xác định và phân tích bất kỳ cuộc tấn công nào trên máy tính Windows của bạn.

Bật kiểm tra đăng nhập

Để kích hoạt Logon Auditing, chúng ta cần phải cấu hình các thiết lập Windows Group Policy. Nhấn “Win ​​+ R”, gõ gpedit.msc và nhấn nút Enter để mở Windows Group Policy Editor.

Khi bạn đang ở trong Group Policy Editor, điều hướng đến “Computer Configuration -> Windows Settings -> Security Settings -> Local Policies” và sau đó chọn “Audit Policy” trong khung bên trái.

Hành động trên sẽ cho bạn thấy một số chính sách trên khung bên phải. Ở đây nhấp đúp chuột vào chính sách “Audit logon events” để mở nó. Xin đừng nhầm lẫn “Kiểm tra sự kiện đăng nhập” với “Sự kiện đăng nhập tài khoản kiểm toán” vì nó là một cài đặt cho một mục đích hoàn toàn khác.

Khi Cửa sổ được mở ra, hãy chọn cả hai hộp kiểm “Thành công” và “Thất bại”. Bây giờ hãy nhấp vào nút “Áp dụng” và “Ok” để lưu các thay đổi.

Đó là tất cả những gì cần làm. Từ thời điểm này trở đi, mọi lần đăng nhập, đăng xuất và đăng nhập không thành công sẽ được ghi vào Event Viewer dưới dạng sự kiện.

Xem sự kiện kiểm tra đăng nhập

Bạn có thể xem tất cả các đăng nhập, đăng xuất và đăng nhập thất bại trong các sự kiện cố gắng trong Windows Event Viewer. Bạn có thể khởi chạy Trình xem sự kiện bằng cách tìm kiếm trong trình đơn bắt đầu. Nếu bạn đang sử dụng Windows 8, bạn có thể khởi chạy tương tự bằng menu Power User (Win + X).

Khi bạn đã khởi chạy Trình xem sự kiện, hãy điều hướng đến Nhật ký Windows và sau đó đến tab Bảo mật.

Ở đây bạn sẽ tìm thấy tất cả các sự kiện liên quan đến bảo mật đã xảy ra trong hệ thống Windows của bạn. Nếu bạn nhấp đúp vào từ khóa "Kiểm toán thành công", bạn sẽ tìm hiểu các chi tiết như người dùng đã đăng nhập hoặc đăng xuất, đóng dấu thời gian, v.v. Như một mẹo, bạn có thể lọc các bản ghi sự kiện bằng cách sử dụng "ID sự kiện "Hoặc" Danh mục nhiệm vụ ". Như bạn có thể thấy từ hình ảnh bên dưới, Kiểm tra đăng nhập cũng theo dõi mọi lần đăng nhập không thành công.

Đó là tất cả để làm, và nó là đơn giản để theo dõi đăng nhập người dùng trong hệ thống Windows của bạn.

Hy vọng rằng sẽ giúp, và làm bình luận dưới đây nếu bạn phải đối mặt với bất kỳ vấn đề trong khi kích hoạt tính năng kiểm tra đăng nhập trong Windows.