在事件查看器窗口左侧导航栏内，依次点击“Windows日志→安全”;随后，在中部窗格中会出现许多具有登录日期和时间戳的条目(图5)。由于每次登录时，Windows会在数分钟内记录许多登录条目，故而可以此来判断系统被执行登录操作的时间。

　　双击“任务类别”为Special Logon(特殊登录)的条目，在打开的“时间属性“窗口中，可看到登录账户名、账户域等信息(图6)。此外，通过事件窗口右侧的“筛选当前日志”链接，可根据情况有目的地筛选日志记录，以便更快、更精准地定位和深入研判登录情况。

　　尽管可以在上述事件窗口中看到这些系统登录的日志，但对于足够聪明的入侵者来说，完全可以在访问后清除掉所有的事件日志。为了预防这种情况的发生，我们可以通过设置，让系统记住上次登录的事件，并使这些信息不能被删除。为此，需要借助于注册表编辑器来完成任务。

　　按下Win+R组合键，启动“运行”对话框，输入REGEDIT打开注册表编辑器。在注册表编辑器内，依次定位到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem”(图7);

 2/3   首页 上一页 1 2 3 下一页 尾页