在局域網工作環(huán)境中���,常常有計算機被他人偷偷攻擊�����,為了尋找幕后攻擊黑手����,我們需要讓Windows系統自動記憶非法攻擊者登錄系統的時間�����,以便從中尋找蛛絲馬跡���。其實,追蹤記憶系統登錄時間的方法有很多��,本文下面提供的幾種方法��,可以幫助我們隨意所欲查看到非法攻擊者登錄系統的具體時間。
1����、巧用策略����,記錄上次登錄時間
在多人共同使用同一臺計算機的情況下����,我們經常會碰到這樣一種現象,那就是當自己臨時離開計算機的這段時間內,有其他用戶偷偷利用自己的賬號登錄系統���,查看自己的操作記錄以及其他訪問痕跡�����。為了弄清楚究竟是誰在偷偷關注自己的操作隱私,我們可以利用Windows Vista系統的組策略設置功能,來自動追蹤顯示上一次登錄系統的時間����,同時我們還能順便查看到究竟是哪個賬號偷偷登錄了本地計算機系統,下面就是該方法的具體實現步驟:
首先打開Windows Vista系統的“開始”菜單�,從中點選“運行”命令�����,在彈出的系統運行對話框中輸入“gpedit.msc”字符串命令���,單擊“確定”按鈕后��,進入對應系統的組策略控制臺窗口;
其次在該控制臺窗口的左側顯示窗格中點選“計算機配置”節(jié)點選項���,再從該節(jié)點下面逐一點選“管理模板”/“Windows組件”/“Windows登錄選項”項目�����,同時從“Windows登錄選項”項目的右側顯示窗格中找到目標組策略“在用戶登錄期間顯示有關以前登錄的信息”,之后用鼠標雙擊目標組策略選項��,打開如圖1所示的選項設置對話框;
圖1
檢查該對話框中的“已啟動”選項是否處于選中狀態(tài)�����,如果發(fā)現它還沒有被選中時����,我們只要將它重新選中��,再單擊“確定”按鈕保存好上述設置操作��,如此一來本地Windows Vista系統就具有自動記錄上次登錄系統時間的功能了。
完成上面的設置操作后���,如果有非法攻擊者趁我們不在計算機現場的時候���,偷偷利用我們的賬號登錄計算機時���,Windows Vista系統就會自動將非法攻擊者登錄系統的時間記憶保存下來��,下次我們打開計算機輸入登錄系統的密碼時���,系統屏幕上就會出現上一次登錄系統的具體時間了,同時我們還能看到具體是哪個用戶賬號執(zhí)行登錄操作的,此時我們可以根據這些狀態(tài)信息����,尋找具體的非法攻擊者,確保計算機系統日后不會被繼續(xù)攻擊�。
2、巧用腳本����,記錄本次登錄時間
有的時候�����,我們希望Windows系統能夠自動將用戶本次登錄系統的時間記憶下來�,然后對照自己實際的登錄時間,如果它們兩者之間有明顯差別的話,那就說明在自己離開計算機的那一段時間����,肯定有人偷偷訪問過本地計算機系統了��。要記錄本次登錄時間����,我們可以自己動手創(chuàng)建一個系統啟動腳本���,讓其自動顯示�、保存本次系統登錄時間��,之后想辦法讓Windows系統在啟動成功后自動執(zhí)行那個啟動腳本就可以了�����,下面就是具體的實現步驟:
首先打開記事本之類的文本編輯程序�,在其中輸入下面的命令行代碼:
@echo off
date /t >> d:\time.log
time /t >> d:\time.log
在確認上面的命令行代碼輸入無誤后����,依次單擊文本編輯窗口中的“文件”/“保存”命令���,將上面的命令代碼保存為擴展名為bat的批處理文件�����,假設在這里我們將該文件取名為“time.bat”�,用鼠標雙擊該批處理文件�,系統當前的時間就會被記錄保存到“d:\time.log”文件中了;
其次為了讓系統在登錄成功的時候自動執(zhí)行“time.bat”文件����,我們需要將該文件設置為系統啟動腳本。在進行這種設置操作時����,我們可以依次單擊本地系統的“開始”/“運行”命令�����,在彈出的系統運行對話框中��,輸入字符串命令“gpedit.msc”��,單擊回車鍵后���,打開對應系統的組策略控制臺窗口;
在該控制臺窗口的左側顯示區(qū)域中�����,用鼠標逐一點選“計算機配置”/“Windows設置”/“腳本(啟動/關機)”節(jié)點選項�����,在對應“腳本(啟動/關機)”節(jié)點選項的右側顯示區(qū)域中,雙擊“啟動”項目����,打開如圖2所示的啟動屬性設置窗口;
圖2
單擊該設置窗口中的“添加”按鈕,從其后出現的文件選擇對話框中��,選中“time.bat”文件并單擊“確定”按鈕�,將其導入到啟動腳本列表框中�����,最后再單擊“確定”按鈕保存好上述設置操作�����,如此一來Windows系統日后每次啟動成功后�����,都會自動執(zhí)行“time.bat”批處理文件��,而該文件恰好可以將系統啟動成功那一刻的時間�����、日期自動記錄保存到“d:\time.log”文件中,到時我們只要查看“d:\time.log”文件����,就能看到本次登錄系統的具體時間了。
3�、巧用日志,記錄每次登錄時間
Windows系統具有強大的日志記錄功能���,善于使用該功能,我們可以讓其自動記憶每一次登錄系統的具體時間��,哪怕是非法攻擊者登錄本地系統失敗了����,Windows系統日志也能將其記錄下來。在使用日志功能記錄每次登錄系統時間時��,我們需要按照如下步驟進行操作:
首先要對系統登錄事件進行審核���。在默認狀態(tài)下�,Windows系統不會對系統登錄事件進行日志保存操作����,只有對該事件進行審核之后��,其日志功能才會自動追蹤�、記憶系統登錄事件;在審核系統登錄事件時��,我們可以依次單擊“開始”/“運行”命令�,在彈出的系統運行對話框中,執(zhí)行字符串命令“secpol.msc”�����,打開對應系統的本地安全策略窗口;
其次在該窗口的左側位置處依次展開“安全設置”/“本地策略”/“審核策略”分支選項���,從目標分支下面雙擊“審核登錄事件”選項�,打開如圖3所示的設置對話框�����,選中其中的“成功”、“失敗”選項��,再單擊“確定”按鈕保存好上述設置操作;完成上面的設置操作后����,Windows系統日后就能自動記錄每次登錄系統的時間了;
圖3
如果想查看每次登錄系統的時間時,我們可以直接用鼠標右鍵單擊對應系統桌面中的“計算機”圖標�����,從右鍵菜單中點選“管理”命令�����,打開對應系統的計算機管理窗口�����,在該窗口的左側位置處依次選中“系統工具”/“事件查看器”/“Windows日志”/“系統”分支選項�����,在目標分支選項下面我們就能看到每次登錄系統的具體記錄了�,雙擊該記錄選項就能查看到具體的登錄時間了�����。
