Такие читатели, как вы, помогают поддерживать MUO. Когда вы совершаете покупку по ссылкам на нашем сайте, мы можем получать партнерскую комиссию. Читать далее.

Windows позволяет создавать несколько учетных записей пользователей, чтобы несколько пользователей могли использовать один компьютер. Но что, если вы подозреваете, что кто-то получил доступ к вашему ПК или учетной записи пользователя без вашего ведома?

Хотя постоянный физический мониторинг вашего компьютера невозможен для большинства людей, встроенный Утилита журнала Windows, Event Viewer, может отображать недавние действия на вашем компьютере, включая вход в систему. попытки. Здесь мы покажем вам, как отслеживать неудачные и успешные попытки входа в систему в Windows с помощью средства просмотра событий и других методов.

Как включить аудит входа в систему с помощью редактора групповой политики

Вам необходимо включить аудит входа в систему в редакторе групповой политики, чтобы иметь возможность просматривать аудит входа в программу просмотра событий. Хотя эта функция может быть включена по умолчанию на некоторых компьютерах, вы также можете включить аудит входа в систему вручную, выполнив следующие действия.

instagram viewer

Обратите внимание, что редактор групповой политики доступен только в выпусках Pro, Edu и Enterprise ОС Windows. Если вы используете домашнюю версию, следуйте нашему руководству, чтобы включить gpedit в домашней версии Windows.

Обратите внимание, что если вы не настроите свою групповую политику для аудита входа в систему, вы сможете просматривать только успешные попытки входа в систему в средстве просмотра событий.

После включения редактора групповой политики выполните следующие действия, чтобы включить аудит входа в систему:

  1. Нажимать Выиграть + Р открыть Бегать.
  2. Тип gpedit.msc и нажмите ХОРОШО открыть Редактор групповой политики.
  3. Затем перейдите в следующее место:Конфигурация компьютера > Параметры Windows > Настройки безопасности > Местные политики > Политика аудита
  4. На правой панели щелкните правой кнопкой мыши Аудит событий входа в систему и выберите Характеристики.
  5. в Характеристики диалоговое окно, выберите Успех и Отказ варианты под Аудит этих попыток раздел.
  6. Нажмите Применять и ХОРОШО чтобы сохранить изменения.

Закройте редактор групповой политики и перейдите к следующему набору шагов, чтобы просмотреть попытки входа в систему в средстве просмотра событий.

Как просмотреть неудачные и успешные попытки входа в систему в средстве просмотра событий

Просмотрщик событий позволяет просматривать журналы Windows для приложения, безопасности, системы и других событий. Хотя это полезное приложение для устранения системных проблем, вы можете использовать его для аудита событий входа в систему на вашем ПК с Windows.

Выполните следующие действия, чтобы просмотреть неудачные и успешные попытки входа в систему в Windows:

  1. нажмите Выигрышный ключ и введите просмотрщик событий. В качестве альтернативы нажмите на Поиск в панели задач и введите просмотрщик событий.
  2. Нажмите на Просмотрщик событий из результатов поиска, чтобы открыть его.
  3. На левой панели разверните Журналы Windows раздел.
  4. Далее выберите Безопасность.
  5. На правой панели найдите Событие 4624 вход. Это идентификатор события входа пользователя в систему, и вы можете найти несколько экземпляров этого идентификатора в журнале событий.
  6. Чтобы найти неудачные попытки входа в систему, найдите Идентификатор события 2625 записи вместо этого.
  7. Далее выберите Событие 4624 запись, которую вы хотите просмотреть, и программа просмотра событий отобразит всю соответствующую информацию в нижней части. Либо щелкните правой кнопкой мыши запись события и выберите Характеристики для просмотра подробной информации в новом окне.

Как расшифровать записи входа в систему в средстве просмотра событий

Хотя событие с кодом 4624 связано с событиями входа в систему, вы, скорее всего, обнаружите в журнале несколько экземпляров этой записи, происходящих каждые несколько минут. Это связано с тем, что средство просмотра событий записывает каждое событие входа в систему (будь то из локальной учетной записи пользователя или системных служб, таких как безопасность Windows) с одним и тем же идентификатором события. (Событие 4624).

Чтобы определить источник входа, щелкните правой кнопкой мыши запись события и выберите Характеристики. в Общий вкладку, прокрутите вниз и найдите Информация для входа раздел. Здесь Тип входа Поле указывает тип входа в систему.

Например, Тип входа 5 указывает на вход в систему на основе службы, а Тип входа 2 указывает вход на основе пользователя. Узнайте больше о различных типах входа в систему в таблице ниже.

Далее прокрутите вниз до Новый вход раздел и найти Идентификатор безопасности. Это покажет учетную запись пользователя, на которую повлиял вход в систему.

Аналогичным образом, для неудачных попыток входа просмотрите Идентификатор события 4625. в Характеристики вы можете найти причины неудачной попытки входа в систему и затронутую учетную запись пользователя. Если вы обнаружите несколько случаев неудачных попыток, рассмотрите возможность изучения как ограничить количество неудачных попыток входа в систему для защиты вашего ПК с Windows.

Ниже приведен список всех девяти Типы входа для событий входа в систему, с которыми вы можете столкнуться при просмотре событий входа в программу просмотра событий:

Тип входа Описание
Тип входа 2 Локальный пользователь вошел в систему на этом компьютере.
Тип входа 3 Пользователь вошел на этот компьютер из сети.
Тип входа 4 Тип группового входа без вмешательства пользователя — Запланированные задачи и т.д.
Тип входа 5 Вход в систему системной службой, запущенной диспетчером управления службами — наиболее распространенный тип.
Тип входа 7 Система разблокирована пользователем локальной учетной записи
Тип входа 8 NetworkClearText — попытка входа в систему по сети, где пароль был отправлен в виде открытого текста.
Тип входа 9 NewCredentials — срабатывает, когда пользователь использует команду RunAs с параметром /netonly для запуска программы.
Тип входа 10 RemoteInteractive — генерируется при доступе к компьютеру с помощью инструмента удаленного доступа, такого как подключение к удаленному рабочему столу.
Тип входа 11 CachedInteractive — когда пользователь вошел на компьютер через консоль, используя кэшированные учетные данные, когда контроллер домена недоступен.

Как просмотреть историю последнего входа в систему с помощью командной строки

Вы можете использовать командную строку для просмотра последней попытки входа в систему. Это удобный способ найти попытки входа в систему на основе пользователей без необходимости просматривать все события входа в систему в средстве просмотра событий.

Чтобы просмотреть историю входа определенного пользователя с помощью командной строки:

  1. Нажимать Выиграть + Р открыть Бегать.
  2. Тип команда. Удерживая Ctrl + Shift, нажмите ХОРОШО. Это откроет Командная строка как администратор.
  3. В окне командной строки введите следующую команду и нажмите Enter:администратор сетевых пользователей | найтистр/B/C:"Последний вход"
  4. В приведенной выше команде замените «administrator» на имя пользователя, чтобы просмотреть историю входа в систему.
  5. Вывод покажет время и дату последнего входа в систему для указанного пользователя.

Просмотр неудачных и успешных попыток входа в систему в Windows

Если вы подозреваете, что кто-то вошел в систему на вашем компьютере, средство просмотра событий, скорее всего, обнаружит и запишет попытку. Чтобы это работало, вы должны включить политику аудита входа в систему в редакторе групповой политики. Вы также можете использовать командную строку для просмотра истории входа определенного пользователя.

Тем не менее, любой, кто разбирается в программе просмотра событий, может легко очистить журналы. Так что, во всяком случае, усиление безопасности вашего компьютера с Windows — лучший способ предотвратить несанкционированный доступ. Вы можете начать с ограничения количества неудачных попыток входа в систему на вашем ПК с Windows.