Monitorowanie aktywności użytkowników

   Chciałbym przedstawić kilka sposobów śledzenia aktywności użytkowników przy pomocy mechanizmów wbudowanych w Windows. Zainteresowanie monitoringiem systemu jest duże i użytkownicy często szukają odpowiednich do tego programów. Windows jednak sam udostępnia mechanim inspekcji, który w wielu przypadkach okazuje się w zupełności wystarczający.
   Aby włączyć inspekcję nalezy wybrać: Panel sterowania -> Narzędzia administracyjne -> Zasady zabezpieczeń lokalnych -> Zasady lokalne -> Zasady inspekcji. Domyślnie włączona jest m.in. inspekcja logowania. Warto włączyć jeszcze inspekcję śledzenia procesów oraz dostępu do obiektów. Ta ostatnia zapewni nam monitorowanie plików oraz rejestru. W przypadku każdej inspekcji możemy zdecydować czy monitorowane mają być operacje zakończone sukcesem albo też niepowodzeniem.
   Od teraz w dzienniku zdarzeń zapisywane są informacje o uruchamianiu i wyłączaniu programów. Znajdziemy je w Podglądzie zdarzeń w sekcji Zabezpieczenia. Należą one do kategorii Szczegółowe śledzenie i mają identyfikatory 592 (utworzenie procesu) oraz 593 (zakończenie procesu). We właściwościach zdarzenia możemy sprawdzić jakiego programu dotyczyła dana akcja i kto ją wykonał. Podany jest też PID (identyfikator procesu) oraz oczywiście czas zdarzenia.
   W przypadku plików i rejestru sytuacja jest trochę bardziej skomplikowana ponieważ inspekcję włącza się dla wybranych plików/katalogów. Wchodzimy więc we właściwości wybranego pliku i klikamy zakładkę Zabezpieczenia, następnie przycisk Zaawansowane i zakładkę Inspekcja. Aby się tam dostać trzeba mieć wyłączone proste udostępnianie w opcjach folderów i być na koncie administracyjnym. Możemy teraz dodać do listy użytkowników, których poczynania chcemy monitorować. Możemy też określic jakie dokładnie akcje mają być monitorowane (np. zapis danych). Tak więc możemy dokładnie określić parametry inspekcji. Może jej być poddany jeden wybrany plik, kilka katalogów albo nawet cały dysk. Można minitorować wybranych użytkowników albo wszystkich. Możemy monitorować np. zapis danych a odczytu nie. Panuje pełna dowolność. Podobnie jest w przypadku rejestru ale inspekcji podlegają tylko całe klucze wraz z wartościami, pojedyncze wartości nie. Logi z dostępu do plików i rejestru, podobnie jak w przypadku procesów, znajdziemy w podglądzie zdarzeń w sekcji Zabezpieczenia.