让我先说我非常健忘。
我想login,注销,locking和解锁我的工作站时有一个日志。
(在我的情况下,所以我可以跟踪在PC上花费的小时数)
EventViewer是最好的。 安全视图显示login/注销事件。 我只需要知道locking/解锁事件。
或者一个方法来调用这些事件的脚本,所以我可以自己做logging。
你知道,有一个便宜的小蓝牙设备可以帮助你。
将其插入USB端口,并将“encryption狗”放在口袋中。
当你离开你的电脑(例如6英尺左右)时,电脑会自动locking。 当你回到范围内时,它会自动解锁。
更新:
我终于find了我的。 它的PC Defender无线屏幕locking。 不知道他们是否已经卖掉了,但是我在Fry's Electronics等地看到过很多这样的东西。下面是一个链接,告诉你看起来像什么:
http://www.dansdata.com/pclock.htm
在那个笔记上…还有一些程序,例如Blue Lock 1.92和其他程序,可以绑定到手机上的蓝牙,当您离开PC时执行某些操作(通常locking屏幕)和你)。
另一个解决scheme是使用你的摄像头定期截图,每5分钟说一次。 然后只要把你脸上的照片数一下。 微软有一个Power Toy来做这件事。 也兼作安全摄像头。 😉
不幸的是,没有“locking”工作站事件 – 解锁(打开正确的审计设置可触发一对types为“7”的528/538事件。
一个更好的主意可能是查看那些可以追踪计算机使用情况的各种工具。 他们通常可以在什么时间范围内给出一个应用程序关注的列表。
我们使用Spector 360在广泛的networking上进行此操作。
对于任何喜欢知道如何在Windows 7中执行此操作的人(如我):打开本地安全策略 (可通过按Windows键一次并键入“本地安全策略”)来find=>高级审核策略configuration=> 。=>login/注销=> 审计其他login/注销事件 =>双击并标记所有checkbox=>保存
屏幕截图: 审计其他login/注销事件
现在,您可以在Windows日志=>安全性(事件ID 4800和4801)下的事件查看器中获取事件,
有一个“logintypes”为“解锁工作站”(types7),将login到事件日志。 不过,我不确定这会给你想要的。
要做你想做的事情的最简单的方法是运行一个你所交互的用户程序来保存时间logging。
您可以开发一个GINA库,当锁工作站或解锁工作站发生时logging您自己的事件,因为这两个事件都有callback到GINA中。 (在Vista中,GINA被证书提供者所取代,当locking工作站发生或没有时,他们得到一个callback,我不清楚。
我们有一个login和注销脚本,通过组策略运行,每次有人login或注销时都会logging到文件 – 这可能有帮助吗? login文件包含以下内容(首先设置\ server01 \ audit $共享!)
@echo %username%,%date%,%time%,%computername%,%clientname% >>\\server01\audit$\%username%login.txt 我find了一个部分的答案..
当地的外派设置Auditpolicy ..
我已打开“审核帐户login事件”
当我locking电脑时,我知道login/注销事件。
然而,注销(即locking)事件具有与login(解锁)相同的时间戳。
越来越近..
更新:
http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=538
有时Windows不会logging事件538。
微软的评论:这个事件不一定表明用户已经停止使用系统的时间。 例如,如果计算机关机或失去networking连接,则根本不会logging注销事件。“
如果您向域控制器进行身份validation,则可以在安全日志文件中检查成功的审计。 每次成功login,都会被logging下来(不成功的login也会被logging下来)。
根据您的编程熟练程度,有很多方法可以获得这些方法。
如果其中任何一条是你想要的路线,你可能会发现以下有用的