Sledování pokusů o přístup a změnu nastavení vašeho počítače

K provedení těchto kroků musíte být přihlášeni jako správce.

Můžete sledovat, co se v počítači odehrává (auditování), a tak zlepšit jeho zabezpečení. Na základě auditování počítače můžete zjistit, jestli se někdo přihlásil k počítači, vytvořil nový uživatelský účet, změnil zásady zabezpečení nebo otevřel dokument. Auditování nezabrání počítačovému podvodníkovi ani osobě s uživatelským účtem v počítači v provádění změn, ale umožňuje dozvědět se, kdy a kým byla změna provedena.

V následující tabulce jsou popsány události, které lze monitorovat. Pokud se rozhodnete sledovat libovolný typ událostí, systém Windows je bude zaznamenávat do protokolu, který si budete moci prohlédnout v nástroji Prohlížeč událostí.

Událost Popis
Událost

Správa účtů

Popis

Sledováním správy účtů zjistíte, kdy byl nějaký účet změněn, povolen nebo zakázán, vytvořen nebo odstraněn, změněno heslo či změněna uživatelská skupina.

Událost

Události přihlášení

Popis

Sledováním tohoto typu událostí zjistíte, kdy se uživatel přihlásil nebo odhlásil (buď fyzicky přímo u počítače, nebo vzdáleně po síti).

Událost

Přístup k adresářové službě

Popis

Sledováním zjistíte, zda nějaký uživatel přistupuje k objektu adresářové služby, který má vlastní seznam řízení auditování přístupu (SACL).

Událost

Přístup k objektům

Popis

Sledováním tohoto typu událostí zjistíte, kdy někdo použil soubor, složku, tiskárnu nebo jiný objekt. Ačkoli lze auditovat také klíče registru, není to doporučeno, pokud nemáte hluboké znalosti počítačů a nevíte, jak používat registr.

Událost

Změny zásad

Popis

Sledováním tohoto typu událostí zjistíte pokusy o změnu místních zásad zabezpečení a uvidíte, zda někdo změnil přiřazení uživatelských práv, zásady auditování a zásady důvěryhodnosti.

Událost

Oprávněnost použití

Popis

Tento typ události monitorujte v případě, že některý uživatel provede v počítači úlohu, kterou má oprávnění provádět.

Událost

Sledování procesů

Popis

Sledováním této události zjistíte, že dochází k takovým událostem jako spuštění nebo ukončení programu.

Událost

Systémové události

Popis

Sledováním tohoto typu událostí zjistíte, kdy uživatel vypnul či restartoval počítač, nebo kdy se proces či program snažil udělat něco, k čemu nemá oprávnění. Pokud by se například spyware pokusil změnit nastavení v počítači bez souhlasu uživatele, sledování systémových událostí by tento pokus zaznamenalo.

Zobrazit vše

Postup zapnutí auditování

  1. Spusťte nástroj Místní zásady zabezpečení takto: Klikněte na tlačítko StartObrázek tlačítka Start, zadejte do vyhledávacího pole text secpol.msc a poté klikněte na položku secpol. Požadováno oprávnění správcePokud vás systém vyzve k zadání nebo potvrzení hesla správce, zadejte heslo nebo proveďte potvrzení.

  2. V levém podokně dvakrát klikněte na položku Místní zásady a pak klikněte na položku Zásady auditu.

  3. Dvakrát klikněte na typ událostí, který chcete auditovat.

  4. Zaškrtněte políčko Úspěšné pokusy nebo Neúspěšné pokusy (nebo obě políčka) a potom klikněte na tlačítko OK.

    • Jestliže zaškrtnete políčko Úspěšné pokusy, systém Windows zaznamená jakýkoli úspěšný pokus o událost daného typu, který sledujete. Pokud sledujete například přihlašování, každé přihlášení uživatele k počítači bude považováno za úspěšnou událost přihlášení.

    • Pokud zaškrtnete políčko Neúspěšné pokusy, bude zaznamenán každý neúspěšný pokus o přihlášení k počítači.

    • Jestliže zaškrtnete obě políčka (Úspěšné pokusy a Neúspěšné pokusy), systém Windows zaznamená všechny pokusy.

    Existuje limit maximálního počtu událostí, které mohou být zaznamenány, a pokud protokol auditování bude příliš plný, může to mít negativní vliv na výkon počítače. Další místo získáte odstraněním zaznamenaných událostí z protokolu v nástroji Prohlížeč událostí.

Postup sledování, kdo otevírá dokumenty

  1. Klikněte pravým tlačítkem myši na dokument či soubor, který chcete sledovat, a potom klikněte na příkaz Vlastnosti.

  2. Klikněte na kartu Zabezpečení, klikněte na tlačítko Upřesnit a potom klikněte na kartu Auditování.

  3. Klikněte na tlačítko Pokračovat. Požadováno oprávnění správcePokud vás systém vyzve k zadání nebo potvrzení hesla správce, zadejte heslo nebo proveďte potvrzení.

  4. Klikněte na tlačítko Přidat.

  5. Do pole Zadejte název objektu k výběru zadejte uživatelské jméno nebo název skupiny, jejichž akce chcete sledovat, a poté v každém ze čtyř otevřených dialogových oknech klikněte na tlačítko OK.

    Jestliže chcete sledovat všechny uživatele, zadejte Everyone. Jestliže chcete sledovat konkrétní osobu, zadejte název počítače následovaný uživatelským jménem sledované osoby, nebo zadejte název domény následovaný uživatelským jménem sledované osoby (pokud je počítač připojen k doméně): počítač\uživatelské jméno nebo doména\uživatelské jméno

  6. Zaškrtněte políčka pro všechny akce, které chcete auditovat, a klikněte na tlačítko OK. Následující tabulka uvádí, co lze auditovat.

    Akce, které lze auditovat u souborů

    Akce Popis
    Akce

    Procházet složkou/Spouštět soubory

    Popis

    Zaznamenává spuštění programu uživatelem.

    Akce

    Zobrazovat obsah složky/Číst data

    Popis

    Zaznamenává zobrazení obsahu souboru uživatelem.

    Akce

    Číst atributy

    Popis

    Zaznamenává zobrazení atributů souboru (jen pro čtení, skrytý atd.) uživatelem.

    Akce

    Číst rozšířené atributy

    Popis

    Zaznamenává zobrazení rozšířených atributů souboru uživatelem. Rozšířené atributy jsou definovány programem, který soubor vytvořil.

    Akce

    Vytvářet soubory/Zapisovat data

    Popis

    Zaznamenává změny v obsahu souboru provedené uživatelem.

    Akce

    Vytvářet složky/Připojovat data

    Popis

    Zaznamenává přidání dat ke konci souboru uživatelem.

    Akce

    Zapisovat atributy

    Popis

    Zaznamenává změny atributů souboru provedené uživatelem.

    Akce

    Zapisovat rozšířené atributy

    Popis

    Zaznamenává změny rozšířených atributů souboru provedené uživatelem.

    Akce

    Odstraňovat podsložky a soubory

    Popis

    Zaznamenává odstranění složky uživatelem.

    Akce

    Odstraňovat

    Popis

    Zaznamenává odstranění souboru uživatelem.

    Akce

    Číst oprávnění

    Popis

    Zaznamenává čtení oprávnění souboru uživatelem.

    Akce

    Měnit oprávnění

    Popis

    Zaznamenává změnu oprávnění souboru uživatelem.

    Akce

    Přebírat vlastnictví

    Popis

    Zaznamenává převzetí vlastnictví souboru uživatelem.

    Poznámka

    • Zaškrtnutím políčka Úplné řízení vyberete všechny akce, které lze auditovat.

Postup k zobrazení protokolů auditování

  1. Spusťte Prohlížeč událostí takto: Klikněte na tlačítko StartObrázek tlačítka Start, na příkaz Ovládací panely, na položku Systém a zabezpečení, na položku Nástroje pro správu a potom dvakrát klikněte na položku Prohlížeč událostí. Požadováno oprávnění správcePokud vás systém vyzve k zadání nebo potvrzení hesla správce, zadejte heslo nebo proveďte potvrzení.

  2. V levém podokně klikněte na složku Protokoly systému Windows a pak klikněte na položku Zabezpečení.

  3. Dvojitým kliknutím na událost zobrazíte podrobnosti.

Poznámka

  • Protokoly vymažete kliknutím na položku Vymazat protokol v podokně Akce.

Další informace o auditování zabezpečení, včetně podrobných zásad auditování, naleznete na stránce Auditování zabezpečení (stránka může být v angličtině) na webu společnosti Microsoft.