Övervaka försök att komma åt och ändra inställningar på datorn

Du måste vara inloggad som administratör för att kunna utföra de här stegen.

Du kan övervaka (kallas även att granska) allt som sker på datorn, vilket hjälper till att göra den säkrare. När du granskar din dator kan du se om någon har loggat in på den, skapat ett nytt användarkonto, ändrat någon säkerhetsprincip eller öppnat ett dokument. En granskning hindrar inte en hackare eller någon med ett konto på datorn från att göra ändringar; du får bara reda på att en ändring har gjorts och av vem.

I tabellen nedan beskrivs de olika typerna av händelser som du kan övervaka. Om du väljer att övervaka någon av dessa händelser kommer Windows att registrera händelsen i en loggfil som du kan granska med Loggboken.

Händelse Beskrivning
Händelse

Kontohantering

Beskrivning

Övervaka det här om du vill se när någon har ändrat namnet på ett konto, aktiverat eller inaktivera ett konto, skapat eller tagit bort ett konto, ändrat ett lösenord eller ändrat en användargrupp.

Händelse

Inloggningshändelser

Beskrivning

Övervaka det här om du vill se när någon har loggat in eller ut ur datorn (antingen när de befunnit sig fysiskt vid datorn eller genom att logga in via nätverket).

Händelse

Katalogtjänståtkomst

Beskrivning

Övervaka det här om du vill se när någon använder ett Active Directory-objekt med sitt egen lista för systembehörighet (SACL).

Händelse

Objektåtkomst

Beskrivning

Övervaka det här om du vill se när någon har använt en fil, en mapp, en skrivare eller något annat objekt. Även om du också kan granska registernycklar är det ingenting vi rekommenderar, såvida du inte har avancerade datorkunskaper och vet hur man använder registret.

Händelse

Principändring

Beskrivning

Övervaka det här om du vill se när någon försöker ändra lokala säkerhetsprinciper och för att se om någon har ändrat tilldelade användarrättigheter, granskningsprinciper eller förtroendeprinciper.

Händelse

Privilegierad användning

Beskrivning

Övervaka det här om du vill se när någon utför en uppgift på datorn som de har behörighet att utföra.

Händelse

Processpårning

Beskrivning

Övervaka det här om du vill se när händelser som till exempel programaktivering eller processavslutning inträffar.

Händelse

Systemhändelser

Beskrivning

Övervaka det här om du vill se när någon har stängt av eller startat om datorn, eller när en process eller ett program försöker att utföra något som den/det inte har behörighet att utföra. Om t.ex. ett spionprogram försöker ändra en inställning på din dator utan ditt tillstånd, registreras den systemhändelsen av övervakningen.

Visa alla

Aktivera granskning

  1. Öppna Lokal säkerhetsinställning genom att klicka på Start-knappen Bild av Start-knappen, skriv secpol.msc i sökrutan och klicka på secpol. Administratörsbehörighet krävs Om du uppmanas att ange administratörslösenord eller bekräftelse, följer du uppmaningen.

  2. Dubbelklicka på Lokala principer till vänster och klicka sedan på Granskningsprincip.

  3. Dubbelklicka på den händelsetyp som du vill granska.

  4. Markera någon av kryssrutorna Lyckade och Misslyckade, eller båda, och klicka sedan på OK.

    • Om du markerar Lyckade kommer Windows att registrera alla lyckade försök att utföra den typ av händelse som du övervakar. Om du t.ex. övervakar inloggningshändelser kommer varje gång en person loggar in på datorn att behandlas som en lyckad inloggingshändelse.

    • Om du markerar Misslyckade kommer alla misslyckade försök att logga in på datorn att registreras.

    • Om du markerar både Lyckade och Misslyckade kommer Windows att registrera samtliga försök.

    Det finns en tidsbegränsning för hur många händelser som kan registreras och det kan, om loggfilen blir alltför full, göra din dator mer långsam. Du kan frigöra utrymme genom att ta bort händelser från loggfilen när du granskar den i Loggboken.

Övervaka vem som öppnar dokument

  1. Högerklicka på det dokument eller den fil som du vill övervaka och klicka på Egenskaper.

  2. Klicka på fliken Säkerhet, välj Avancerat och klicka sedan på fliken Granskning.

  3. Klicka på Fortsätt. Administratörsbehörighet krävs Om du uppmanas att ange administratörslösenord eller bekräftelse, följer du uppmaningen.

  4. Klicka på Lägg till.

  5. Skriv namnet på användaren eller gruppen vars åtgärder du vill övervaka i Ange det objektnamn som ska väljas och klicka sedan på OK i var och en av de fyra öppna dialogrutorna.

    Klicka på Alla om du vill övervaka alla. Om du vill övervaka en viss person, ange datorns namn och därefter personens användarnamn eller namnet på domänen och därefter personens användarnamn (om datorn ingår i en domän): dator\användarnamn eller domän\användarnamn.

  6. Markera kryssrutan för den åtgärd som du vill övervaka och klicka sedan på OK. I följande tabell redovisas vad du kan övervaka.

    Övervakningsbara åtgärder för filer

    Åtgärd Beskrivning
    Åtgärd

    Bläddra mapp/köra fil

    Beskrivning

    Registrerar när någon kör en programfil.

    Åtgärd

    Lista mappar/läsa data

    Beskrivning

    Registrerar när någon tittar på data i en fil.

    Åtgärd

    Läsa attribut

    Beskrivning

    Registrerar när någon visar attributen för en fil, t ex skrivskyddad eller dold.

    Åtgärd

    Läsa utökade attribut

    Beskrivning

    Registrerar när någon tittar på en fils utökade attribut. De utökade attributen definieras av det program som filen skapades i.

    Åtgärd

    Skapa filer/skriva data

    Beskrivning

    Registrerar när någon ändrar innehållet i en fil.

    Åtgärd

    Skapa mappar/lägga till data

    Beskrivning

    Registrerar när någon lägger till data i slutet av en fil.

    Åtgärd

    Skriva attribut

    Beskrivning

    Registrerar när någon ändrar en fils attribut.

    Åtgärd

    Skriva utökade attribut

    Beskrivning

    Registrerar när någon ändrar en fils utökade attribut.

    Åtgärd

    Ta bort undermappar och filer

    Beskrivning

    Registrerar när någon tar bort en mapp.

    Åtgärd

    Ta bort

    Beskrivning

    Registrerar när någon tar bort en fil.

    Åtgärd

    Läsbehörighet

    Beskrivning

    Registrerar när någon läser behörigheterna för en fil.

    Åtgärd

    Ändra behörigheter

    Beskrivning

    Registrerar när någon ändrar behörigheterna för en fil.

    Åtgärd

    Bli ägare

    Beskrivning

    Registrerar när någon tar över ägandet av en fil.

    Obs!

    • Om du markerar kryssrutan Fullständig behörighet markeras alla granskningsbara åtgärder.

Visa granskningsloggar

  1. Öppna Loggboken genom att klicka på Start-knappen Bild av Start-knappen, klicka på Kontrollpanelen, System och säkerhet, Administrationsverktyg och dubbelklicka sedan på Loggboken. Administratörsbehörighet krävs Om du uppmanas att ange administratörslösenord eller bekräftelse, följer du uppmaningen.

  2. Dubbelklicka på Windows-loggar i den vänstra rutan och klicka sedan på Säkerhet.

  3. Dubbelklicka på en händelse för att visa information om den.

Obs!

  • Om du vill ta bort loggfiler klickar du på Rensa loggen i åtgärdsfönstret.

Mer information om säkerhetsgranskning, inklusive detaljerade granskningsprinciper, finns i Säkerhetsgranskning på Microsofts webbplats.