吕梁

1.使用审核策略实现活动跟踪

要实现活动跟踪，首先需要启用与此相关的本地安全策略。按下Win+R组合键启动“运行”框，在“运行”框中输入secpol.msc命令并回车运行，启动“本地安全策略”窗口（图1）。

在本地安全策略窗口中，从左侧窗格中依次选择“本地策略→审核策略”，在右侧窗格中会看到9个不同的审核策略，这些策略的默认“安全设置”均为“无审核”状态（图2）。

最后，一一双击这些策略，从“审核策略更改”操作窗口中，依次将这9个策略的审核操作选项“成功”和“失败”均选中，然后单击“应用”按钮并点击“确定”（图3）。设置之后的列表显示状态如图所示（图4）。

通过上述操作之后，Windows被配置为跟踪用户活动状态。接下来就可以跟踪用户活动，并获取跟踪记录了。

2.用事件查看器跟踪查看用户活动情况

按下Win+R组合键，在“运行”对话框中运行eventvwr命令，启动事件查看器（图5）。

在事件查看器的左侧窗格中，依次选择“Windows日志→安全”，之后，我们在中部窗格的记录中，便可以看到Windows开始记录所有与安全有关的事件（图6）。

双击中部窗口中的任意事件，在弹出的“事件属性”窗口内，可看到事件旧信息（图7）。根据事件旧的序号，可判断创建组或用户时记录的事件。具体情况分为用户管理、账户管理、组管理三类情况，分述如下：

要查看工作组中用户的创建或删除情况，可通过相应的ID号来判断。如果是在工作组中创建了用户，就会出现4728、4720、4722、4738、4732等事件ID;若是删除了用户，就会出现4733、4729、4726等事件ID。具体情况见表（表1）。

要查看用户账户的启用、禁用、密码重置、配置文件变动、账户更名等情况，只需通过如表中所示的与用户账户相关的几个ID事件，即可获知具体情况（表2）。

有關本地组的变动情况，如创建本地组、删除本地组、重命名本地组或从本地组删除与添加用户等活动，也可以通过如表中所示的一些旧事件的序号查看（表3）。