在局域網(wǎng)工作環(huán)境中����,常常有計(jì)算機(jī)被他人偷偷攻擊,為了尋找幕后攻擊黑手���,我們需要讓W(xué)indows系統(tǒng)自動(dòng)記憶非法攻擊者登錄系統(tǒng)的時(shí)間����,以便從中尋找蛛絲馬跡����。其實(shí),追蹤記憶系統(tǒng)登錄時(shí)間的方法有很多����,本文下面提供的幾種方法,可以幫助我們隨意所欲查看到非法攻擊者登錄系統(tǒng)的具體時(shí)間�。
1、巧用策略����,記錄上次登錄時(shí)間
在多人共同使用同一臺(tái)計(jì)算機(jī)的情況下�,我們經(jīng)常會(huì)碰到這樣一種現(xiàn)象���,那就是當(dāng)自己臨時(shí)離開計(jì)算機(jī)的這段時(shí)間內(nèi),有其他用戶偷偷利用自己的賬號(hào)登錄系統(tǒng)����,查看自己的操作記錄以及其他訪問痕跡。為了弄清楚究竟是誰(shuí)在偷偷關(guān)注自己的操作隱私����,我們可以利用Windows Vista系統(tǒng)的組策略設(shè)置功能,來自動(dòng)追蹤顯示上一次登錄系統(tǒng)的時(shí)間��,同時(shí)我們還能順便查看到究竟是哪個(gè)賬號(hào)偷偷登錄了本地計(jì)算機(jī)系統(tǒng)���,下面就是該方法的具體實(shí)現(xiàn)步驟:
首先打開Windows Vista系統(tǒng)的“開始”菜單���,從中點(diǎn)選“運(yùn)行”命令,在彈出的系統(tǒng)運(yùn)行對(duì)話框中輸入“gpedit.msc”字符串命令�,單擊“確定”按鈕后,進(jìn)入對(duì)應(yīng)系統(tǒng)的組策略控制臺(tái)窗口;
其次在該控制臺(tái)窗口的左側(cè)顯示窗格中點(diǎn)選“計(jì)算機(jī)配置”節(jié)點(diǎn)選項(xiàng)�,再?gòu)脑摴?jié)點(diǎn)下面逐一點(diǎn)選“管理模板”/“Windows組件”/“Windows登錄選項(xiàng)”項(xiàng)目,同時(shí)從“Windows登錄選項(xiàng)”項(xiàng)目的右側(cè)顯示窗格中找到目標(biāo)組策略“在用戶登錄期間顯示有關(guān)以前登錄的信息”����,之后用鼠標(biāo)雙擊目標(biāo)組策略選項(xiàng)�,打開如圖1所示的選項(xiàng)設(shè)置對(duì)話框;
圖1
檢查該對(duì)話框中的“已啟動(dòng)”選項(xiàng)是否處于選中狀態(tài)�����,如果發(fā)現(xiàn)它還沒有被選中時(shí)����,我們只要將它重新選中,再單擊“確定”按鈕保存好上述設(shè)置操作���,如此一來本地Windows Vista系統(tǒng)就具有自動(dòng)記錄上次登錄系統(tǒng)時(shí)間的功能了�����。
完成上面的設(shè)置操作后���,如果有非法攻擊者趁我們不在計(jì)算機(jī)現(xiàn)場(chǎng)的時(shí)候,偷偷利用我們的賬號(hào)登錄計(jì)算機(jī)時(shí)�,Windows Vista系統(tǒng)就會(huì)自動(dòng)將非法攻擊者登錄系統(tǒng)的時(shí)間記憶保存下來,下次我們打開計(jì)算機(jī)輸入登錄系統(tǒng)的密碼時(shí)��,系統(tǒng)屏幕上就會(huì)出現(xiàn)上一次登錄系統(tǒng)的具體時(shí)間了�,同時(shí)我們還能看到具體是哪個(gè)用戶賬號(hào)執(zhí)行登錄操作的���,此時(shí)我們可以根據(jù)這些狀態(tài)信息,尋找具體的非法攻擊者�,確保計(jì)算機(jī)系統(tǒng)日后不會(huì)被繼續(xù)攻擊。
2���、巧用腳本,記錄本次登錄時(shí)間
有的時(shí)候��,我們希望Windows系統(tǒng)能夠自動(dòng)將用戶本次登錄系統(tǒng)的時(shí)間記憶下來����,然后對(duì)照自己實(shí)際的登錄時(shí)間,如果它們兩者之間有明顯差別的話�����,那就說明在自己離開計(jì)算機(jī)的那一段時(shí)間��,肯定有人偷偷訪問過本地計(jì)算機(jī)系統(tǒng)了���。要記錄本次登錄時(shí)間����,我們可以自己動(dòng)手創(chuàng)建一個(gè)系統(tǒng)啟動(dòng)腳本,讓其自動(dòng)顯示����、保存本次系統(tǒng)登錄時(shí)間,之后想辦法讓W(xué)indows系統(tǒng)在啟動(dòng)成功后自動(dòng)執(zhí)行那個(gè)啟動(dòng)腳本就可以了��,下面就是具體的實(shí)現(xiàn)步驟:
首先打開記事本之類的文本編輯程序����,在其中輸入下面的命令行代碼:
@echo off
date /t >> d:\time.log
time /t >> d:\time.log
在確認(rèn)上面的命令行代碼輸入無誤后,依次單擊文本編輯窗口中的“文件”/“保存”命令��,將上面的命令代碼保存為擴(kuò)展名為bat的批處理文件���,假設(shè)在這里我們將該文件取名為“time.bat”�,用鼠標(biāo)雙擊該批處理文件�����,系統(tǒng)當(dāng)前的時(shí)間就會(huì)被記錄保存到“d:\time.log”文件中了;
其次為了讓系統(tǒng)在登錄成功的時(shí)候自動(dòng)執(zhí)行“time.bat”文件����,我們需要將該文件設(shè)置為系統(tǒng)啟動(dòng)腳本。在進(jìn)行這種設(shè)置操作時(shí)�����,我們可以依次單擊本地系統(tǒng)的“開始”/“運(yùn)行”命令,在彈出的系統(tǒng)運(yùn)行對(duì)話框中�,輸入字符串命令“gpedit.msc”,單擊回車鍵后��,打開對(duì)應(yīng)系統(tǒng)的組策略控制臺(tái)窗口;
在該控制臺(tái)窗口的左側(cè)顯示區(qū)域中����,用鼠標(biāo)逐一點(diǎn)選“計(jì)算機(jī)配置”/“Windows設(shè)置”/“腳本(啟動(dòng)/關(guān)機(jī))”節(jié)點(diǎn)選項(xiàng)��,在對(duì)應(yīng)“腳本(啟動(dòng)/關(guān)機(jī))”節(jié)點(diǎn)選項(xiàng)的右側(cè)顯示區(qū)域中�����,雙擊“啟動(dòng)”項(xiàng)目�,打開如圖2所示的啟動(dòng)屬性設(shè)置窗口;
圖2
單擊該設(shè)置窗口中的“添加”按鈕,從其后出現(xiàn)的文件選擇對(duì)話框中�,選中“time.bat”文件并單擊“確定”按鈕,將其導(dǎo)入到啟動(dòng)腳本列表框中�,最后再單擊“確定”按鈕保存好上述設(shè)置操作,如此一來Windows系統(tǒng)日后每次啟動(dòng)成功后����,都會(huì)自動(dòng)執(zhí)行“time.bat”批處理文件���,而該文件恰好可以將系統(tǒng)啟動(dòng)成功那一刻的時(shí)間、日期自動(dòng)記錄保存到“d:\time.log”文件中����,到時(shí)我們只要查看“d:\time.log”文件,就能看到本次登錄系統(tǒng)的具體時(shí)間了����。
3、巧用日志���,記錄每次登錄時(shí)間
Windows系統(tǒng)具有強(qiáng)大的日志記錄功能���,善于使用該功能,我們可以讓其自動(dòng)記憶每一次登錄系統(tǒng)的具體時(shí)間���,哪怕是非法攻擊者登錄本地系統(tǒng)失敗了����,Windows系統(tǒng)日志也能將其記錄下來���。在使用日志功能記錄每次登錄系統(tǒng)時(shí)間時(shí)���,我們需要按照如下步驟進(jìn)行操作:
首先要對(duì)系統(tǒng)登錄事件進(jìn)行審核��。在默認(rèn)狀態(tài)下����,Windows系統(tǒng)不會(huì)對(duì)系統(tǒng)登錄事件進(jìn)行日志保存操作�����,只有對(duì)該事件進(jìn)行審核之后���,其日志功能才會(huì)自動(dòng)追蹤、記憶系統(tǒng)登錄事件;在審核系統(tǒng)登錄事件時(shí)���,我們可以依次單擊“開始”/“運(yùn)行”命令��,在彈出的系統(tǒng)運(yùn)行對(duì)話框中��,執(zhí)行字符串命令“secpol.msc”�,打開對(duì)應(yīng)系統(tǒng)的本地安全策略窗口;
其次在該窗口的左側(cè)位置處依次展開“安全設(shè)置”/“本地策略”/“審核策略”分支選項(xiàng)���,從目標(biāo)分支下面雙擊“審核登錄事件”選項(xiàng)���,打開如圖3所示的設(shè)置對(duì)話框�,選中其中的“成功”��、“失敗”選項(xiàng)�����,再單擊“確定”按鈕保存好上述設(shè)置操作;完成上面的設(shè)置操作后�,Windows系統(tǒng)日后就能自動(dòng)記錄每次登錄系統(tǒng)的時(shí)間了;
圖3
如果想查看每次登錄系統(tǒng)的時(shí)間時(shí),我們可以直接用鼠標(biāo)右鍵單擊對(duì)應(yīng)系統(tǒng)桌面中的“計(jì)算機(jī)”圖標(biāo)����,從右鍵菜單中點(diǎn)選“管理”命令,打開對(duì)應(yīng)系統(tǒng)的計(jì)算機(jī)管理窗口����,在該窗口的左側(cè)位置處依次選中“系統(tǒng)工具”/“事件查看器”/“Windows日志”/“系統(tǒng)”分支選項(xiàng),在目標(biāo)分支選項(xiàng)下面我們就能看到每次登錄系統(tǒng)的具體記錄了����,雙擊該記錄選項(xiàng)就能查看到具體的登錄時(shí)間了。
