Đã bao giờ bạn tự hỏi làm thế nào để theo dõi tiến trình đăng nhập của người dùng trên máy tính của bạn? Trường hợp này thường gặp đối với những người dùng chung trên cùng một máy tính, hoặc bị người khác xâm nhập quyền bất hợp pháp trên máy tính của mình thông qua kết nối mạng. Trên các phiên bản Professional của Windows, bạn có thể kiểm soát vấn đề đăng nhập nhờ Windows theo dõi tài khoản người dùng đăng nhập tại bất cứ lúc nào.
Thiết lập kiểm soát đăng nhập sẽ theo dõi cả đăng nhập tại máy tính cục bộ và đăng nhập qua mạng. Mỗi sự kiện đăng nhập sẽ xác định tài khoản người dùng đăng nhập và thời gian đăng nhập. Bạn cũng có thể nhìn thấy khi người dùng đăng xuất.
Cho phép kiểm soát đăng nhập
Đầu tiên, mở local group policy editor - nhấn phím Windows, gõ gpedit.msc trong trình đơn Start và nhấn Enter. (Bạn cũng có thể kích hoạt sự kiện kiểm soát đăng nhập trên bộ điều khiển tên miền nếu bạn quản lý mạng với thông tin đăng nhập tập trung)
Điều hướng đến thư mục sau: Local Computer Policy -> Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy.
Nhấn đúp chuột vào thiết lập Audit logon events trong khung bên phải để điều chỉnh tùy chọn của nó. Trong cửa sổ properties, đánh dấu tick vào ô Success để kích hoạt bản ghi khi đăng nhập thành công. Bạn cũng có thể đánh dấu tick vào ô Failure để kích hoạt bản ghi khi đăng nhập không thành công.
Xem sự kiện đăng nhập
Sau khi kích hoạt thiết lập này, Windows sẽ ghi lại sự kiện đăng nhập - trong đó có tên người dùng và thời gian đăng nhập vào hệ thống bảo mật.
Để xem sự kiện, mở Event Viewer - nhấn phím Windows, gõ Event Viewer, và nhấn Enter để mở nó.
Điều hướng đến Windows Logs -> Mục Security trong trình Event Viewer.
Tìm kiếm các sự kiện với Event ID 4624 - đại diện cho sự kiện đăng nhập thành công.
Để xem thông tin chi tiết - chẳng hạn như tài khoản người dùng đăng nhập vào máy tính - bạn có thể kích đúp vào Event và kéo xuống phía dưới trong hộp văn bản.
Nếu bản ghi security sắp xếp lộn xộn, bạn có thể nhấp vào Filter Current Log trong thanh bên và lọc event ID 4624. Event Viewer sẽ hiển thị sự kiện đăng nhập duy nhất.
Vì đây chỉ là sự kiện trong bản ghi Windows event với event ID cụ thể, nên bạn cũng có thể sử dụng Task Scheduler để thực thi khi đăng nhập xảy ra. Thậm chí có thể ra lệnh Windows gửi email cho bạn khi ai đó đăng nhập vào.