ניטור ניסיונות לגשת להגדרות במחשב ולשנות אותן

כדי לבצע שלבים אלה, עליך להיות מחובר כמנהל מערכת.

באפשרותך לנטר (לנהל ביקורת) את מה שקורה במחשב כדי לגרום לו להיות מאובטח יותר. על-ידי ניהול ביקורת על המחשב, באפשרותך לדעת אם מישהו נכנס למחשב, יצר חשבון משתמש חדש, שינה מדיניות אבטחה או פתח מסמך. ניהול הביקורת לא מונע ביצוע שינויים על-ידי פורץ או אדם אחר שיש לו חשבון במחשב, אך הוא מאפשר לך לדעת מתי התבצע שינוי ומי ביצע אותו. קיימים חמישה סוגים שונים של אירועים שבאפשרותך לנטר: ניהול חשבונות, כניסה למערכת, גישה לאובייקט, שינוי מדיניות ואירועי מערכת. אם תבחר לנטר כל אחד מסוגי אירועים אלה, Windows יתעד את האירועים ביומן רישום שבאפשרותך להציג באמצעות 'מציג האירועים'.

  • ניהול חשבונות

    נטר סוג אירועים זה כדי לראות מתי מישהו שינה שם חשבון, הפך חשבון לזמין או ללא זמין, יצר או מחק חשבון, שינה סיסמה או שינה קבוצת משתמשים.

  • אירועי כניסה למערכת

    נטר סוג אירועים זה כדי לראות מתי מישהו נכנס למחשב או יצא ממנו (באופן פיזי או באמצעות ניסיון התחברות ברשת).

  • גישה לשירותי ספריות

    נטר סוג אירועים זה כדי לראות מתי מישהו ניגש לאובייקט Active Directory בעל רשימת בקרת גישה למערכת (SACL) משלו.

  • גישה לאובייקטים

    נטר סוג אירועים זה כדי לראות מתי מישהו השתמש בקובץ, תיקיה, מדפסת או כל אובייקט אחר. למרות שבאפשרותך לנהל ביקורת גם על מפתחות רישום, איננו ממליצים לעשות זאת אלא אם יש לך ידע נרחב בשימוש במחשבים וידוע לך אופן השימוש במערכת הרישום.

  • שינוי מדיניות

    נטר סוג אירועים זה כדי לראות ניסיונות לשינוי מדיניות אבטחה מקומית וכדי לראות אם מישהו שינה הקצאות של זכויות משתמש, מדיניות ביקורת או מדיניות מתן אמון.

  • שימוש בהרשאות

    נטר סוג אירועים זה כדי לראות מתי מישהו מבצע זכות משתמש.

  • מעקב אחר תהליכים

    נטר סוג אירועים זה כדי לראות מתי מתרחשים אירועים, כגון הפעלת תוכניות או יציאה מתהליכים.

  • אירועי מערכת

    נטר סוג אירועים זה כדי לראות מתי מישהו כיבה או הפעיל מחדש את המחשב, או כאשר תהליך או תוכנית מנסים לבצע פעולה שאינם מורשים לבצע. לדוגמה, אם תוכנת ריגול מנסה לשנות הגדרה במחשב ללא רשותך, ניטור אירועי המערכת יתעד זאת.

הצג הכל

כדי להפעיל את ניהול הביקורת

  1. פתח את 'מדיניות אבטחה מקומית' על-ידי לחיצה על לחצן התחלתמונה של לחצן 'התחל', הקלדת secpol.msc בתיבה חיפוש ולאחר מכן לחיצה על secpol.msc. נדרשת הרשאת מנהל אם אתה מתבקש לתת סיסמה או אישור של מנהל מערכת, הקלד את הסיסמה או ספק אישור.

  2. לחץ על מדיניות מקומית ולאחר מכן לחץ פעמיים על מדיניות ביקורת.

  3. לחץ פעמיים על סוג האירוע שעליו ברצונך לנהל ביקורת.

  4. בחר את תיבת הסימון הצלחה או כשל או את שתיהן ולאחר מכן לחץ על אישור.

    אם תבחר הצלחה, Windows יתעד את כל הניסיונות המוצלחים להשלמת סוג האירוע שעליו אתה מנהל ביקורת. לדוגמה, אם אתה מנהל ביקורת על אירועי כניסה למערכת, כל פעם שמישהו נכנס למחשב תיחשב כאירוע כניסה למערכת מוצלח. אם תבחר כשל, יתועד כל ניסיון כושל להיכנס למחשב. אם תבחר הן את הצלחה והן את כשל, Windows יתעד את כל הניסיונות. יש מגבלה למספר האירועים שניתן לתעד, ואם יומן הביקורת מתמלא, המחשב עלול לעבוד בצורה איטית יותר. כדי לפנות מקום, באפשרותך למחוק אירועים מיומן הרישום בעודך מציג אותם ב'מציג האירועים'.

כדי לנטר פתיחת מסמכים

  1. לחץ באמצעות לחצן העכבר הימני על קובץ שאחריו ברצונך לנהל מעקב ולאחר מכן לחץ על מאפיינים.

  2. לחץ על הכרטיסיה אבטחה, לחץ על מתקדם ולאחר מכן לחץ על ביקורת.

  3. לחץ על המשך. נדרשת הרשאת מנהל אם אתה מתבקש לתת סיסמה או אישור של מנהל מערכת, הקלד את הסיסמה או ספק אישור.

  4. לחץ על הוספה.

  5. בתיבה הזן את שם האובייקט כדי לבחור, הקלד את שם המשתמש או הקבוצה שאחרי הפעולות שלהם ברצונך לנהל מעקב ולאחר מכן לחץ על אישור.

    אם ברצונך לנטר את כולם, הקלד Everyone. אם ברצונך לנטר אדם מסוים, הקלד את שם המחשב ולאחריו את שם המשתמש של אותו אדם: computer\user name.

  6. בחר את תיבת הסימון עבור כל פעולה שעליה ברצונך לנהל ביקורת ולאחר מכן לחץ על אישור. בטבלה הבאה מתוארים האירועים שעליהם באפשרותך לנהל ביקורת.

    פעולות עם קבצים שניתן לנהל עליהן ביקורת

    פעולה תיאור
    פעולה

    העברת תיקיה / הפעלת קובץ

    תיאור

    ניהול מעקב אחר פעמים שבהן מישהו מפעיל קובץ תוכנית.

    פעולה

    פירוט תיקיה / קריאת נתונים

    תיאור

    ניהול מעקב אחר הפעמים שבהן מישהו מציג נתונים בקובץ.

    פעולה

    קריאת תכונות

    תיאור

    ניהול מעקב אחר הפעמים שבהן מישהו מציג את התכונות של קובץ, כגון 'קריאה בלבד' או 'מוסתר'.

    פעולה

    קריאת תכונות מורחבות

    תיאור

    ניהול מעקב אחר הפעמים שבהן מישהו מציג את התכונות המורחבות של קובץ. התכונות המורחבות מוגדרות על-ידי התוכנית שיצרה את הקובץ.

    פעולה

    יצירת קבצים / כתיבת נתונים

    תיאור

    ניהול מעקב אחר הפעמים שבהן מישהו משנה את התוכן של קובץ.

    פעולה

    יצירת תיקיות / צירוף נתונים

    תיאור

    ניהול מעקב אחר הפעמים שבהן מישהו מוסיף נתונים לסופו של קובץ.

    פעולה

    כתיבת תכונות

    תיאור

    ניהול מעקב אחר הפעמים שבהן מישהו משנה את התכונות של קובץ.

    פעולה

    כתיבת תכונות מורחבות

    תיאור

    ניהול מעקב אחר הפעמים שבהן מישהו משנה את התכונות המורחבות של הקובץ.

    פעולה

    מחיקת תיקיות משנה וקבצים

    תיאור

    ניהול מעקב אחר הפעמים שבהן מישהו מוחק תיקיה.

    פעולה

    מחיקה

    תיאור

    ניהול מעקב אחר הפעמים שבהן מישהו מוחק קובץ.

    פעולה

    הרשאות קריאה

    תיאור

    ניהול מעקב אחר הפעמים שבהן מישהו קורא את ההרשאות של קובץ.

    פעולה

    הרשאות שינוי

    תיאור

    ניהול מעקב אחר הפעמים שבהן מישהו משנה את ההרשאות של קובץ.

    פעולה

    קבלת בעלות

    תיאור

    ניהול מעקב אחר הפעמים שבהן מישהו מקבל בעלות על קובץ.

    הערה

    • בחירה בתיבת הסימון שליטה מלאה תביא לבחירת כל הפעולות הניתנות לביקורת.

כדי להציג יומני ביקורת

  1. פתח את '‏‏מציג האירועים' על-ידי לחיצה על לחצן התחלתמונה של לחצן 'התחל', לחיצה על לוח הבקרה, לחיצה על מערכת ותחזוקה, לחיצה על כלי ניהול ולאחר מכן לחיצה כפולה על ‏‏מציג האירועים. נדרשת הרשאת מנהל אם אתה מתבקש לתת סיסמה או אישור של מנהל מערכת, הקלד את הסיסמה או ספק אישור.

  2. בחלונית הניווט, לחץ פעמיים על יומני רישום של Windows ולאחר מכן לחץ על אבטחה.

  3. לחץ פעמיים על אירוע כדי לראות את הפרטים.

הערה

  • כדי למחוק יומני רישום, לחץ על ניקוי יומן רישום בחלונית 'פעולות'.