锁定和解锁的事件查看器

为了识别解锁屏幕，我相信你可以使用 ID 4624。但是，您还需要查看登录类型，在本例中是7: http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4624

Logoff 的活动编号是4634

不幸的是，没有“锁定/解锁”这种东西，你需要做的是:

1. 点击“过滤当前日志...”
2. 选择 XML 选项卡并单击“手动编辑查询”

3. 输入以下查询:

   <QueryList>
   <Query Id="0" Path="Security">
   <Select Path="Security">
   *[EventData[Data[@Name='LogonType']='7']
   and
   (System[(EventID='4634')] or System[(EventID='4624')])
   ]</Select>
   </Query>
   </QueryList>
   

That's it

对于 Windows10，lock = 4800和 lock = 4801的事件 ID。

正如 Mario 和 User 00000提供的答案所说，你需要通过运行 gpedit.msc 并导航到他们指定的分支，使用他们上面描述的方法来启用锁定和解锁事件的日志记录:

计算机配置 视窗设定-> 保安设定-> 高级审计政策配置-> 系统审计策略-本地组策略对象-> 登录/注销-> 审核其他登入/注销

同时启用成功和失败事件。

启用这些事件的日志记录后，可以直接筛选事件 ID4800和4801。

此方法适用于 Windows10，因为我刚刚在锁定和解锁我的计算机后使用它来过滤我的安全日志。

对于新版本的 Windows (包括但不限于 Windows10和 WindowsServer2016) ，事件 ID 如下:

• 4800-工作站被锁上了。
• 4801-工作站没有锁。

锁定和解锁工作站还涉及以下登录和注销事件:

• 4624-帐户已成功登录。
• 4634-一个账户被注销了。
• 4648-尝试使用显式凭据登录。

当使用终端服务会话时，如果会话被断开，锁定和解锁也可能涉及下列事件，并且事件4778可能取代事件4801:

• 4779-一个会话从窗口站断开。
• 4778-一个会话重新连接到窗口站。

默认情况下不审计事件4800和4801，必须使用本地组策略编辑器(gpedit.msc)或本地安全策略(secpol.msc)启用事件4800和4801。

使用本地组策略编辑器的策略路径为:

• 本地电脑政策
• 计算机配置
• Windows 设置
• 安全设定
• 高级审计策略配置
• 系统审计策略-本地组策略对象
• 登录/注销
• 审核其他登录/注销事件

使用本地安全策略的策略的路径是本地组策略编辑器路径的以下子集:

• 安全设定
• 高级审计策略配置
• 系统审计策略-本地组策略对象
• 登录/注销
• 审核其他登录/注销事件

安全设置-> 高级审核策略-> 系统审核-> 登录/注销-> 审核其他登录/关闭事件-> 关于成功

启用以下功能:

4800 - workstation locked
4801 - workstation unlocked
4802 - screensaver invoke
4803 - screensaver dismissed

Windows10专业版

使用 Windows10家庭版。我无法让事件查看器捕获事件4800和4801，即使在安装 Windows 组策略编辑器、启用对所有相关事件的审计并重新启动计算机之后也是如此。然而，我能够发现与锁定和解锁相关联的其他事件，您可以使用这些事件作为计算机被锁定时的准确和可靠指示器。请参阅下面的配置-第一个是 PC Locked (连接到显示 C: Windows System32 LogonUI.exe 的事件)-第二个是 PC Unlock (成功登录的事件)。