Haben Sie sich jemals gefragt, ob Sie Benutzeranmeldeaktivitäten in Windows nachverfolgen können, um Aufzeichnungen darüber zu erhalten, wer sich angemeldet hat und wann sie sich anmelden? Dies ist im Windows-System mit der Logon-Auditing-Funktion durchaus möglich. Die Verfolgung von Benutzeranmeldungen und Abmeldeaktivitäten ist sehr nützlich in Server- oder Organisationsumgebungen, in denen Daten vertraulich sind und in Situationen, in denen Sie nur wissen möchten, wer das in Ihrem Windows-System getan hat. Standardmäßig ist die Logon-Überwachung in Windows deaktiviert. In diesem Artikel erfahren Sie, wie Sie die Überwachung von Anmeldungen aktivieren und diese Überwachungsereignisse auf einem Windows-System anzeigen können.

Hinweis: Die Protokollüberwachung ist nur in den Versionen Pro, Ultimate und Enterprise von Windows 8 verfügbar.

Was ist Logon-Überwachung?

Die Protokollüberwachung ist eine integrierte Windows-Gruppenrichtlinieneinstellung, die es einem Windows-Administrator ermöglicht, jede Instanz von Benutzeranmeldungen und Abmeldeaktivitäten auf einem lokalen Computer oder über ein Netzwerk zu protokollieren und zu überwachen. Neben dem Anmelden und Abmelden von Ereignissen ist diese Funktion auch in der Lage, alle fehlgeschlagenen Anmeldeversuche zu verfolgen. Dies ist besonders hilfreich bei der Ermittlung und Analyse von Angriffen auf Ihren Windows-Rechner.

Aktivieren Sie die Anmeldeüberwachung

Um die Logon-Überwachung zu aktivieren, müssen wir Windows-Gruppenrichtlinieneinstellungen konfigurieren. Drücken Sie "Win + R", geben Sie gpedit.msc und drücken Sie die Eingabetaste, um den Windows-Gruppenrichtlinien-Editor zu öffnen.

Navigieren Sie im Gruppenrichtlinien-Editor zu "Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien" und wählen Sie im linken Bereich "Überwachungsrichtlinie" aus.

Die obige Aktion zeigt Ihnen einige Richtlinien im rechten Bereich. Hier doppelklicken Sie auf die Richtlinie "Anmeldeereignisse überwachen", um sie zu öffnen. Verwechseln Sie bitte nicht "Anmeldeereignisse protokollieren" mit "Anmeldeereignisse des Prüfkontos überwachen", da dies eine Einstellung für einen völlig anderen Zweck darstellt.

Sobald das Fenster geöffnet ist, aktivieren Sie die beiden Kontrollkästchen "Erfolg" und "Fehler". Klicken Sie nun auf die Schaltflächen "Übernehmen" und "Ok", um die Änderungen zu speichern.

Das ist alles, was es zu tun gibt. Ab diesem Zeitpunkt werden alle Anmelde-, Abmelde- und fehlgeschlagenen Anmeldeversuche in der Ereignisanzeige als Ereignisse protokolliert.

Anmeldeüberwachungsereignisse anzeigen

Sie können alle Anmelde-, Abmelde- und fehlgeschlagenen Anmeldeversuche in der Windows-Ereignisanzeige anzeigen. Sie können die Ereignisanzeige starten, indem Sie im Startmenü suchen. Wenn Sie Windows 8 verwenden, können Sie dasselbe über das Menü Hauptbenutzer (Windows + X) starten.

Wenn Sie die Ereignisanzeige gestartet haben, navigieren Sie zu Windows-Protokolle und dann zur Registerkarte Sicherheit.

Hier finden Sie alle sicherheitsrelevanten Ereignisse, die in Ihrem Windows-System aufgetreten sind. Wenn Sie auf das Schlüsselwort "Audit Success" doppelklicken, erfahren Sie Details wie den eingeloggten oder ausgeloggten Benutzer, den Zeitstempel usw. Als Hinweis können Sie die Ereignisprotokolle mit "Event ID" filtern "Oder" Task Category. "Wie Sie aus dem folgenden Bild sehen können, verfolgt Logon Auditing auch alle fehlgeschlagenen Anmeldeversuche.

Das ist alles, was es zu tun gibt, und es ist so einfach, Benutzeranmeldungen in Ihrem Windows-System nachzuverfolgen.

Hoffentlich hilft das und Sie kommentieren unten, wenn Sie Probleme haben, während Sie die Logon-Auditing-Funktion in Windows aktivieren.