Как узнать, кто и когда входил в мой компьютер
Обновлено: 21.11.2024
Дэнни Мерфи
ИТ-администраторам часто необходимо знать, кто и когда заходил на их компьютеры из соображений безопасности и соответствия требованиям. Хотя вы можете использовать встроенные методы аудита, предоставляемые Windows, для отслеживания событий входа и выхода из учетной записи пользователя, вам может потребоваться просеивать тысячи записей, чтобы получить требуемый журнал. После того, как вы нашли нужный журнал, получить необходимую информацию для отчетов о соответствии и безопасности не так просто.
В этой статье вы узнаете, как отслеживать, кто и когда входил в систему. Вы также узнаете о более простом способе аудита событий входа/выхода из системы с помощью Lepide Active Directory Auditor.
Включить собственный аудит событий входа/выхода пользователей
Это можно сделать с помощью двух настроек GPO:
Аудит событий входа в систему: этот параметр генерирует события для начала и завершения сеансов входа. Эти события происходят на компьютере, на котором вы вошли в систему.
Аудит событий входа в учетную запись: этот параметр генерирует события на компьютере, которые проверяют вход в систему. Когда контроллер домена аутентифицирует учетную запись пользователя домена, события генерируются и сохраняются на этом контроллере домена.
Ниже приведены действия по включению аудита событий входа/выхода пользователя из системы
- Шаг 1. Откройте консоль «Управление групповыми политиками», выполнив команду «gpmc.msc».
- Шаг 2. Если вы хотите настроить аудит для всего домена, щелкните домен правой кнопкой мыши и выберите «Создать объект групповой политики в этом домене и связать его здесь…».
- Шаг 3. На экране появится диалоговое окно «Создание нового объекта групповой политики». Введите новое имя объекта групповой политики.
- Шаг 4. Перейдите к новому объекту групповой политики, щелкните его правой кнопкой мыши и выберите «Изменить» в контекстном меню.
- Шаг 5. На экране появится окно «Редактор управления групповыми политиками».
- Шаг 6. На панели навигации выберите «Конфигурация компьютера» ➔ «Политики» ➔ «Параметры Windows» ➔ «Параметры безопасности» ➔ «Локальные политики» ➔ «Политика аудита».
Рисунок . Настройка политики аудита событий входа в систему - Шаг 7. На правой панели дважды щелкните политику «Аудит событий входа», чтобы открыть окно ее свойств.
- Шаг 8. Установите флажки "Успех" и "Ошибка" и нажмите "ОК".
- Шаг 9. Аналогичным образом вы должны включить «Успех» и «Ошибка» для «Аудит событий входа в учетную запись».
- Шаг 10. Закройте «Редактор управления групповыми политиками».
- Шаг 11. Теперь вам нужно настроить этот новый объект групповой политики (содержащий эту политику аудита) для всех объектов Active Directory, включая всех пользователей и группы. Выполните следующие шаги.
- В «Консоли управления групповыми политиками» выберите новый объект групповой политики (содержащий указанные выше изменения).
- В разделе «Фильтрация безопасности» на правой панели нажмите «Добавить», чтобы открыть диалоговое окно «Выбрать пользователя, компьютер или группу».
- Введите «Все». Нажмите «Проверить имена», чтобы подтвердить эту запись. Нажмите "ОК", чтобы добавить его и применить ко всем объектам.
Просмотр событий входа
После того как вы настроили аудит входа в систему, всякий раз, когда пользователи входят в сетевые системы, журналы событий будут создаваться и сохраняться. Чтобы узнать подробности, вы должны использовать средство просмотра событий Windows. Выполните следующие действия, чтобы просмотреть события аудита входа в систему:
- Шаг 1. Откройте «Пуск» ➔ Введите «Просмотр событий» и нажмите Enter, чтобы открыть окно «Просмотр событий».
- Шаг 2. На левой панели навигации «Просмотра событий» откройте журналы «Безопасность» в «Журналах Windows».
- Шаг 3. Вам нужно будет найти следующие идентификаторы событий для целей, указанных ниже.
Идентификатор события Описание 4624 < td>Событие успешного входа в учетную запись4625 Не удалось войти в учетную запись 4648 Попытка входа в систему с использованием явных учетных данных < tr>4634 Выход из учетной записи 4647 Выход из системы, инициированный пользователем Для входа пользователя необходимо выполнить поиск по идентификаторам событий 4624 и 4648. Для неудачного входа в систему необходимо искать код 4625. Для событий выхода необходимо искать коды 4634 и 4647.
В этой статье мы ищем события 4624 и 4648. На следующем снимке экрана показано событие Windows с идентификатором 4648 для попытки входа пользователя с использованием явных учетных данных.
Рис. : Событие входа в систему в средстве просмотра событий
Используйте Lepide Active Directory Auditor для аудита событий входа/выхода пользователей
Используя Lepide Active Directory Auditor (часть Lepide Data Security Platform), вы можете легко отслеживать вход и выход пользователя из системы (избегая сложностей встроенного аудита). Решение автоматически собирает информацию о входе в систему со всех добавленных контроллеров домена. Его отчет содержит подробную информацию о входе в систему или выходе из нее, в том числе о том, когда пользователи вошли в систему, с какого компьютера и когда. Вы получаете точные и мгновенные отчеты о входных данных пользователей в сети. На следующем снимке экрана показано событие отчета об успешном входе пользователя в систему, зафиксированное Lepide Active Directory Auditor:
Рисунок : Отчет об успешном входе/выходе пользователя
Заключение
В этой статье объясняются действия по аудиту событий входа и выхода пользователя с помощью собственного аудита. Однако для событий входа в систему или выхода из системы создается много шума, что затрудняет для ИТ-администраторов просмотр в режиме реального времени. Также был объяснен самый простой и эффективный способ аудита с помощью решения для аудита Active Directory от Lepide. Чтобы самостоятельно попробовать Lepide Active Directory Auditor, загрузите бесплатную пробную версию сегодня.
Вы когда-нибудь задумывались, кто имел доступ к вашему компьютеру и когда это произошло? В этом руководстве мы покажем вам, как использовать функцию аудита Windows 10 для отслеживания попыток входа в систему.
В Windows 10 вы можете включить политику "Аудит событий входа в систему", чтобы отслеживать попытки входа в систему, что может пригодиться во многих случаях, в том числе для выяснения того, кто использовал ваше устройство без разрешения, устранения определенных проблем и т. д. .
Если политика включена, Windows 10 может отслеживать локальные и сетевые входы в систему независимо от того, были они успешными или нет, и каждое событие будет включать имя учетной записи и время, когда оно произошло, среди другой информации. Как правило, эта функция предназначена для организаций, но ее может использовать любой, если вы знаете, как это делается.
В этом руководстве по Windows 10 мы расскажем, как узнать, когда и кто входил на ваше устройство с помощью групповой политики и средства просмотра событий.
Как включить политику аудита входа в Windows 10
Если вы используете Windows 10 Pro, вы можете использовать редактор локальной групповой политики, чтобы включить политику «Аудит событий входа в систему» для отслеживания успешных попыток входа и функций входа на вашем устройстве.
Важно: групповая политика недоступна в Windows 10 Home, но достаточно интересно, по крайней мере, аудит входа в систему для успешных попыток включен по умолчанию в этой версии. Если вы используете Windows 10 Домашняя, вы можете пропустить эти шаги и сразу перейти к инструкциям средства просмотра событий.
- Используйте сочетание клавиш Windows + R, чтобы открыть команду «Выполнить».
- Введите gpedit.msc и нажмите OK, чтобы открыть редактор локальной групповой политики.
Пройдите по следующему пути:
Конфигурация компьютера > Параметры Windows > Параметры безопасности > Локальные политики > Политика аудита
С правой стороны дважды щелкните политику Аудит событий входа в систему.
Проверьте параметры успеха и отказа.
После выполнения этих шагов Windows 10 будет отслеживать каждую попытку входа на ваше устройство, независимо от того, была она успешной или нет.
Если вы больше не заинтересованы в отслеживании входов в систему на своем компьютере, вы можете использовать те же инструкции, но на шаге № 5 обязательно снимите флажки «Успех» и «Неудача».
Как узнать, кто вошел в Windows 10
После того как вы настроили Windows 10 для аудита событий входа в систему, вы можете использовать средство просмотра событий, чтобы узнать, кто входил на ваш компьютер и когда это произошло.
- Откройте Пуск.
- Выполните поиск средства просмотра событий, щелкните верхний результат, чтобы запустить его.
Пройдите по следующему пути:
Просмотр событий > Журналы Windows > Безопасность
Дважды щелкните событие с идентификационным номером 4624, что указывает на успешный вход в систему.
Совет. В Windows 10 Pro вы также можете дважды щелкнуть событие с идентификатором 4625, чтобы увидеть неудачные попытки, или событие с идентификатором 4634, чтобы узнать, когда пользователь вышел из системы.
В журнале событий вы найдете много полезной информации, но вы можете просто просмотреть раздел «Зарегистрировано», чтобы выяснить, когда произошло событие, и на вкладке «Общие» просмотреть раздел «Новый вход», чтобы найти из учетной записи, которой было предоставлено разрешение на доступ к вашему компьютеру.
Использование фильтров
На странице "Безопасность" регистрируется множество попыток входа в систему, в том числе из фоновых служб, поэтому вам может потребоваться просмотреть несколько событий, пока вы не найдете нужную информацию. Однако вы можете ускорить процесс, используя функцию фильтра средства просмотра событий, чтобы создать собственное представление для просмотра только попыток входа в систему.
Выберите параметр «Создать пользовательский вид».
В поле "Все идентификаторы событий" введите 4624.
После выполнения этих шагов вы сможете быстрее узнать, кто и когда успешно входил в систему на вашем устройстве.
Несмотря на то, что мы ориентируемся в этом руководстве на Windows 10, вы также можете обратиться к этим инструкциям, чтобы отслеживать входы в систему на вашем устройстве в предыдущих версиях, включая Windows 8.1 и Windows 7.
Дополнительные ресурсы по Windows 10
Для получения дополнительных полезных статей, обзоров и ответов на распространенные вопросы о Windows 10 посетите следующие ресурсы:
Лучшие дешевые ноутбуки с Windows в марте 2022 г.
Вам не нужно опустошать свой бумажник, чтобы получить отличный компьютер, способный работать под управлением Windows и помогающий вам делать повседневные дела. Вам даже не нужно платить столько за отличные функции, такие как сенсорные экраны, Bluetooth и дискретная графика.
Вот что критики и фанаты думают о дебюте телесериала Halo
Первая серия телесериала Halo вышла в эфир на этой неделе на Paramount+. Первые отзывы о сериале не очень восторженные, но до конца сезона это может изменить ситуацию.
Присоединяйтесь к нам в прямом эфире для Windows Central Video Podcast сегодня в 13:30 по восточному времени
Сегодня в 13:30 по восточному времени мы в прямом эфире с подкастом Windows Central Video, обязательно будьте там!
Ознакомьтесь с этими обязательными приложениями Windows для Суперкубка LVI
Суперкубок LVI наконец-то здесь. Чтобы получить наилучшие впечатления от большой игры, обязательно скачайте эти приложения для Windows 11 и Windows 10.
Считаете ли вы, что кто-то заходил на ваш ПК с Windows, пока вас не было? Если вашей ищейке не удалось отследить виновника, у нас есть несколько удобных способов узнать, был ли доступ к вашему ПК. Возможно, они не оставили физических улик, но есть большая вероятность, что они оставили улики где-то в Windows. Выясните, не входит ли кто-то другой на ваш ПК с Windows, используя любую комбинацию следующих методов.
Контент
Также читайте: как пропустить экран входа в систему в Windows 10
Последние действия в списках переходов
Текущие версии Windows 10 больше не отображают последние действия, кроме недавно добавленных приложений, в меню «Пуск». Перейдите к следующему разделу, если вы используете более раннюю версию Windows 10 или более ранние версии Windows.
Однако Windows 11 показывает рекомендации в меню "Пуск". (Эта функция включена по умолчанию, но хитрые пользователи могли ее отключить.) Они основаны на недавнем использовании, что может указывать на то, что кто-то другой использовал ваш компьютер.
Однако вы можете просмотреть файлы, к которым недавно обращались, щелкнув правой кнопкой мыши приложение в меню "Пуск" и на панели задач. Хотите узнать, открывал ли кто-нибудь документ Word? Откройте любой документ Word, щелкните правой кнопкой мыши его значок на панели задач (это также работает, если у вас есть закрепленный ярлык на панели задач) и найдите Недавние.
То же самое можно сделать в меню "Пуск". Щелкните правой кнопкой мыши любое приложение, к которому, по вашему мнению, мог получить доступ кто-то, чтобы найти последние элементы, включая элементы браузера. Если ваш браузер автоматически удаляет историю при закрытии, может ничего не отображаться.
Кроме того, откройте проводник и найдите раздел «Быстрый доступ».
Возможно, вам придется включить этот параметр, если он не включен по умолчанию. Перейдите в «Пуск» -> «Настройки» -> «Персонализация» -> «Пуск».
Убедитесь, что параметр "Показывать недавно открытые элементы в меню "Пуск", "Списки переходов" и "Проводник"" включен.
Также читайте: Как сделать скриншот экрана входа в Windows
Недавние действия (старые версии Windows и Windows 10)
Начнем с основ. Если кто-то получил доступ к вашей учетной записи, то он должен был использовать ее для чего-то. Вам нужно искать изменения в вашем ПК, которые не были сделаны вами.
Отправной точкой будут последние программы, появившиеся в меню "Пуск". Нажмите на меню «Пуск», чтобы увидеть последние открытые программы. Вы увидите изменение только в том случае, если злоумышленник получил доступ к программе, которую вы в последнее время не использовали.
Одним из недостатков является то, что они всегда могут удалить элемент отсюда, если они достаточно умны. Кроме того, если на вашем ПК включен просмотр последних элементов, наведите курсор мыши на кнопку «Последние элементы» в правой части меню «Пуск», чтобы увидеть все недавно открытые файлы. Запись файла останется там, даже если фактические файлы будут удалены.
К другим распространенным местам для поиска изменений относятся история браузера, последние документы и параметр «Программы» на панели управления для недавно добавленных программ.
Это недоступно в Windows 11. Список последних элементов отображается только при щелчке правой кнопкой мыши значка приложения и в Быстром доступе. Однако, если функция недавних элементов отключена в настройках вашего ПК, они также не будут отображаться здесь.
Также читайте: Как настроить режим киоска на ПК с Windows
Проверьте средство просмотра событий Windows
Вышеупомянутый шаг был сделан только для того, чтобы предупредить вас о том, что что-то не так. Давайте серьезно и найдем веские доказательства, если вы подозреваете, что кто-то еще входит в систему на вашем ПК с Windows. Windows хранит полный отчет об успешном входе в учетную запись и неудачных попытках входа. Вы можете просмотреть это в средстве просмотра событий Windows.
Чтобы получить доступ к средству просмотра событий Windows, нажмите Win + R и введите eventvwr.msc в диалоговом окне «Выполнить». Когда вы нажмете Enter, откроется средство просмотра событий.
На левой панели разверните «Журналы Windows» и выберите «Безопасность».
На средней панели вы увидите несколько записей для входа в систему с отметками даты и времени. Каждый раз, когда вы входите в систему, Windows записывает несколько входов в систему в течение общего периода времени от двух до четырех минут. Сосредоточьтесь на времени, когда были сделаны эти записи, и найдите время, когда вы не входили в систему активно.
Если есть запись, это означает, что кто-то получил доступ к вашему компьютеру. Windows не будет делать поддельные записи, поэтому вы можете доверять этим данным. Кроме того, вы также можете проверить, к какой именно учетной записи осуществлялся доступ в течение этого периода (если у вас несколько учетных записей). Чтобы проверить, дважды щелкните запись «Особый вход» в течение этого периода, и откроется «Свойства события». Здесь вы увидите имя учетной записи рядом с «Имя учетной записи».
Просмотр событий – это также отличный способ просмотреть историю запуска и завершения работы ПК. Это также может служить признаком того, что кто-то мог включить и использовать ваш компьютер, пока вас не было.
Также читайте: как использовать Windows 11 без учетной записи Microsoft
Показывать данные последнего входа при запуске
Описанный выше метод достаточно надежен для поимки злоумышленника, но если бы он был достаточно умен, он мог бы очистить все журналы событий. В этом случае вы можете настроить последние данные для входа, чтобы они отображались сразу после запуска ПК. Это покажет вам, когда учетная запись в последний раз входила в систему и какие-либо неудачные попытки. Эта информация не может быть удалена и может только помочь вам в случае несанкционированного доступа в будущем, поскольку вы будете настраивать ее дальше.
Вы будете редактировать реестр Windows, поэтому обязательно создайте его резервную копию. Нажмите Win + R и введите regedit в диалоговом окне «Выполнить», чтобы открыть реестр Windows. В реестре нажмите «Файл -> Экспорт», выберите место для файла резервной копии в окне выбора файлов, затем нажмите кнопку «Сохранить».
Чтобы проверить информацию о предыдущем входе в реестр:
- Щелкните правой кнопкой мыши папку «Система» и выберите «Значение DWORD» в разделе «Создать».
- Запись будет создана, готовая к переименованию; вам нужно назвать его «DisplayLastLogonInfo».
- Дважды щелкните эту запись и установите для нее значение «1».
Теперь всякий раз, когда вы (или кто-то другой) входите в систему на своем компьютере, вы сначала увидите, когда вы в последний раз входили в систему, и все неудачные попытки.
Также прочтите: 15 полезных лайфхаков с реестром Windows, которые помогут оптимизировать вашу работу
Проверить историю браузера
Если ваш браузер автоматически удаляет историю, когда вы его закрываете, это не поможет. Но даже если это не так, многие люди забывают удалить свою историю, когда используют чей-то компьютер без разрешения. Просто откройте браузер(ы) и получите доступ к истории, используя меню настроек для вашего конкретного браузера.
Поймать удаленных пользователей
Неприятно, когда кто-то входит в ваш компьютер лично, но как насчет удаленного доступа? Вышеупомянутые методы по-прежнему хорошо работают, чтобы вы знали, был ли удаленный пользователь на вашем ПК. Как правило, в журнале входа в Windows в средстве просмотра событий отображаются даже события удаленного входа. Вот еще несколько вещей, которые нужно проверить для удаленного входа в Windows:
- Проверьте свой компьютер на наличие новых приложений. Если вы видите что-то, что вы не устанавливали или что было установлено недавно без вашего разрешения, изучите это, чтобы узнать, что оно делает. Возможно, это результат вредоносного ПО, и новое приложение позволяет удаленным пользователям входить в систему.
- Проверьте брандмауэр. Если у вас установлен брандмауэр, могут отображаться удаленные подключения. Вы даже можете заметить текущее активное соединение. Используйте брандмауэр для блокировки удаленных пользователей. Шаги и настройки сильно различаются в зависимости от типа брандмауэра, а в Windows есть встроенный брандмауэр. Перейдите в «Настройки» -> «Конфиденциальность и безопасность» -> «Безопасность Windows», затем перейдите в «Открыть безопасность» и выберите «Брандмауэр и защита сети». Выберите «Дополнительные настройки», чтобы просмотреть события, связанные с брандмауэром.
- Проверить на наличие вирусов. Если кто-то удаленно входит в Windows без вашего разрешения, это может быть связано с вредоносным ПО. Регулярно запускайте сканирование на наличие вредоносных приложений. Если у вас ничего не установлено, рассмотрите возможность использования Защитника Windows.
- Убедитесь, что ваш антивирус и брандмауэр не отключены. Если они отключены, это признак вредоносного ПО и возможного удаленного доступа.
Вышеуказанные методы должны предупредить вас о несанкционированном доступе. Однако они не скажут вам, «кто» на самом деле получил доступ к вашей учетной записи. Так что да, вам нужно будет провести дополнительную исследовательскую работу вне компьютера.
Помните, что если кто-то использует вашу учетную запись и достаточно умен, чтобы очистить свои следы, его будет сложно поймать. Всегда выходите из своей учетной записи, если вы покидаете свой компьютер, чтобы никто не мог его использовать.
Также читайте: следует ли отключать процесс «Исполняемый файл службы защиты от вредоносных программ» в Windows?
Часто задаваемые вопросы
1. Как я могу узнать, кто использует мой компьютер?
Хотя ваша история входа в систему Windows позволяет вам узнать, что что-то не так, она не говорит вам, кто в этом виноват. Если потенциальных виновников несколько, рассмотрите возможность скрытия камеры или даже включения веб-камеры и записи при входе в систему. Это не сработает для удаленного входа в систему, но поможет поймать людей в вашем доме или офисе. Вам может потребоваться разрешение на это на вашем рабочем месте.
До сих пор мы говорили только о технических способах проверки на несанкционированный доступ. Вы также можете использовать физические методы для проверки доступа. Например, вы можете поместить волос или тонкую нитку на клавиатуру или мышь, чтобы проверить, не использовались ли они.Вы могли бы использовать легкий порошок на вашей мыши. Если он исчез или исчез, вы знаете, что кто-то его использовал. Проявите творческий подход к ловушкам.
2. Как предотвратить несанкционированный доступ к моему компьютеру?
Если вы обнаружили несанкционированный вход в Windows, есть несколько способов предотвратить доступ в будущем, например:
Безопасность ПК очень полезна для каждого из нас, и точное знание нашего уровня безопасности может только помочь.
Возможно, у нас есть какой-нибудь любопытный в доме, или вы секретный агент государственной безопасности, которому нужно знать, что его компьютер не был взломан.
Самый простой способ сделать это — проверить, не входил ли кто-нибудь в ваш компьютер, как современная цифровая Златовласка, а в Windows 10 есть инструменты безопасности, позволяющие проверять попытки входа на вашем ПК, как успешные, так и иначе.
Как просмотреть попытки входа в систему на ПК с Windows 10
Как включить аудит входа в систему для Windows 10 Pro.
- Откройте приложение групповой политики, введя gpedit в поле поиска или Cortana.
- В редакторе групповой политики перейдите по следующему маршруту, чтобы перейти к политике аудита входа: Конфигурация компьютера > Параметры Windows > Параметры безопасности > Локальные политики > Политика аудита.
- Найдите аудит входа в систему и дважды щелкните его.
- Откроется новое подменю. Выберите как успех, так и неудачу. Это означает, что если кто-то попытается войти в систему, но не сможет, Windows все равно будет отслеживать вход в систему.
Как просмотреть попытки входа в систему на ПК с Windows 10.
- Откройте настольную программу просмотра событий, введя «Просмотр событий» в Cortana/поле поиска.
- Выберите Журналы Windows в левой панели меню.
- В разделе "Журналы Windows" выберите безопасность.
- Теперь вы должны увидеть прокручивающийся список всех событий, связанных с безопасностью на вашем ПК.
- Обратите внимание на событие 4624, которое является типичным входом в систему. Вы можете проверить время, дату и сведения об учетной записи, чтобы узнать, кто и когда вошел в систему, если подозреваете, что это были не вы. ол>р>
P.S. Для пользователей Windows 10 Домашняя вы увидите только успешные входы в систему, а поскольку для этих устройств групповая политика недоступна, это нельзя настроить. Вы можете узнать, как перейти на Windows 10 Pro здесь.
Некоторые ссылки в статье могут быть недоступны для просмотра, поскольку вы используете блокировщик рекламы. Пожалуйста, добавьте нас в свой белый список, чтобы веб-сайт работал должным образом.
Читайте также: