我找到了一个指南,教你如何通过 gpedit.msc 打开系统日志活动审核,如何通过 eventvwr.msc 读取登录活动
这样的监控方式到底全面不全面?
我对此有些怀疑。例如,Windows 不提供记录远程桌面连接登录活动的机会,也许我错了,但它似乎没有包括在这里。
您是否有任何技巧可以真正检查系统是否被使用?我一直认为我拥有管理员权限,所以我想实现一种可以帮我生成日志的隐藏批处理... 网络上有类似的东西吗?
答案1
您应该对登录事件 ID 和登录类型进行更多研究。此链接很有帮助。