Czytelnicy tacy jak ty pomagają wspierać MUO. Kiedy dokonujesz zakupu za pomocą linków na naszej stronie, możemy otrzymać prowizję partnerską. Czytaj więcej.

System Windows umożliwia tworzenie wielu kont użytkowników, aby umożliwić wielu użytkownikom korzystanie z jednego komputera. Ale co, jeśli podejrzewasz, że ktoś uzyskał dostęp do Twojego komputera lub konta użytkownika bez Twojej wiedzy?

Chociaż fizyczne monitorowanie komputera przez cały czas nie jest możliwe dla większości ludzi, wbudowane Narzędzie dziennika systemu Windows, Podgląd zdarzeń, może ujawnić ostatnie działania na komputerze, w tym logowanie próbowanie. Tutaj pokazujemy, jak przeprowadzać inspekcję nieudanych i udanych prób logowania w systemie Windows za pomocą Podglądu zdarzeń i innych metod.

Jak włączyć inspekcję logowania za pomocą Edytora zasad grupy

Musisz włączyć audyt logowania w Edytorze zasad grupy, aby móc wyświetlić audyt logowania w Podglądzie zdarzeń. Chociaż ta funkcja może być domyślnie włączona na niektórych komputerach, możesz także ręcznie włączyć inspekcję logowania, wykonując następujące kroki.

instagram viewer

Należy pamiętać, że Edytor zasad grupy jest dostępny tylko w wersjach Pro, Edu i Enterprise systemu operacyjnego Windows. Jeśli korzystasz z wersji Home, postępuj zgodnie z naszym przewodnikiem włącz gpedit w domowej wersji systemu Windows.

Pamiętaj, że jeśli nie skonfigurujesz zasad grupy dla inspekcji logowania, w Podglądzie zdarzeń możesz przeglądać tylko udane próby logowania.

Po włączeniu Edytora zasad grupy wykonaj następujące kroki, aby włączyć inspekcję logowania:

  1. Naciskać Wygraj + R otworzyć Uruchomić.
  2. Typ gpedit.msc i kliknij OK aby otworzyć Edytor zasad grupy.
  3. Następnie przejdź do następującej lokalizacji:konfiguracja komputera > Ustawienia systemu Windows > Ustawienia bezpieczeństwa > Zasady lokalne > Polityka audytu
  4. W prawym okienku kliknij prawym przyciskiem myszy Kontroluj zdarzenia logowania i wybierz Nieruchomości.
  5. w Nieruchomości okno dialogowe, wybierz Powodzenie I Awaria opcje pod Przeanalizuj te próby Sekcja.
  6. Kliknij Stosować I OK aby zapisać zmiany.

Zamknij Edytor zasad grupy i przejdź do następnego zestawu kroków, aby wyświetlić próby logowania w Podglądzie zdarzeń.

Jak wyświetlić nieudane i udane próby logowania w Podglądzie zdarzeń

The Podgląd zdarzeń umożliwia przeglądanie dzienników systemu Windows dotyczących aplikacji, zabezpieczeń, systemu i innych zdarzeń. Chociaż jest to przydatna aplikacja do rozwiązywania problemów z systemem, można jej używać do kontrolowania zdarzeń logowania na komputerze z systemem Windows.

Wykonaj następujące kroki, aby wyświetlić nieudane i udane próby logowania w systemie Windows:

  1. wciśnij Wygraj klucz i wpisz Podgląd zdarzeń. Alternatywnie kliknij Szukaj na pasku zadań i wpisz Podgląd zdarzeń.
  2. Kliknij Podgląd zdarzeń z wyniku wyszukiwania, aby go otworzyć.
  3. W lewym okienku rozwiń Dzienniki systemu Windows Sekcja.
  4. Następnie wybierz Bezpieczeństwo.
  5. W prawym okienku zlokalizuj plik Zdarzenie 4624 wejście. Jest to identyfikator zdarzenia logowania użytkownika, aw dzienniku zdarzeń można znaleźć wiele wystąpień tego identyfikatora.
  6. Aby znaleźć nieudane próby logowania, zlokalizuj Identyfikator zdarzenia 2625 zamiast tego wpisy.
  7. Następnie wybierz Zdarzenie 4624 wpis, który chcesz wyświetlić, a Podgląd zdarzeń wyświetli wszystkie powiązane informacje w dolnej części. Alternatywnie kliknij prawym przyciskiem myszy wpis zdarzenia i wybierz Nieruchomości aby wyświetlić szczegółowe informacje w nowym oknie.

Jak odszyfrować wpisy logowania w Podglądzie zdarzeń

Chociaż identyfikator zdarzenia 4624 jest powiązany ze zdarzeniami logowania, prawdopodobnie znajdziesz w dzienniku wiele wystąpień tego wpisu co kilka minut. Wynika to z faktu, że Podgląd zdarzeń rejestruje każde zdarzenie logowania (z lokalnego konta użytkownika lub usług systemowych, takich jak zabezpieczenia systemu Windows) z tym samym identyfikatorem zdarzenia (Zdarzenie 4624).

Aby zidentyfikować źródło logowania, kliknij prawym przyciskiem myszy rekord zdarzenia i wybierz Nieruchomości. w Ogólny kartę, przewiń w dół i znajdź plik Informacje logowania Sekcja. Tutaj Typ logowania pole wskazuje rodzaj logowania, które wystąpiło.

Na przykład, Typ logowania 5 wskazuje logowanie oparte na usłudze, podczas gdy Typ logowania 2 oznacza logowanie oparte na użytkowniku. Dowiedz się więcej o różnych typach logowania w poniższej tabeli.

Następnie przewiń w dół do Nowe logowanie sekcję i zlokalizuj Identyfikator bezpieczeństwa. Spowoduje to wyświetlenie konta użytkownika, którego dotyczyło logowanie.

Podobnie w przypadku nieudanych prób logowania przejrzyj Identyfikator zdarzenia 4625. w Nieruchomości można znaleźć przyczyny nieudanej próby logowania oraz konto użytkownika, którego dotyczy problem. Jeśli znajdziesz wiele przypadków nieudanych prób, rozważ naukę jak ograniczyć liczbę nieudanych prób logowania, aby chronić komputer z systemem Windows.

Poniżej znajduje się lista wszystkich dziewięciu Typy logowania dla zdarzeń logowania, które możesz napotkać przeglądając zdarzenia logowania w Podglądzie zdarzeń:

Typ logowania Opis
Typ logowania 2 Użytkownik lokalny zalogował się na tym komputerze.
Typ logowania 3 Użytkownik zalogował się do tego komputera z sieci.
Typ logowania 4 Typ logowania wsadowego bez interwencji użytkownika — Zaplanowane zadania itp.
Typ logowania 5 Logowanie przez usługę systemową uruchomioną przez Service Control Manager — najczęściej spotykany typ
Rodzaj logowania 7 System odblokowany przez użytkownika konta lokalnego
Rodzaj logowania 8 NetworkClearText — próba logowania przez sieć, do której hasło zostało wysłane jako zwykły tekst.
Typ logowania 9 NewCredentials — wyzwalane, gdy użytkownik używa polecenia RunAs z opcją /netonly w celu uruchomienia programu.
Typ logowania 10 RemoteInteractive — generowany podczas uzyskiwania dostępu do komputera za pośrednictwem narzędzia dostępu zdalnego, takiego jak Podłączanie pulpitu zdalnego.
Rodzaj logowania 11 CachedInteractive — gdy użytkownik loguje się do komputera za pośrednictwem konsoli przy użyciu buforowanych poświadczeń, gdy kontroler domeny jest niedostępny.

Jak wyświetlić historię ostatniego logowania za pomocą wiersza polecenia

Możesz użyć wiersza polecenia, aby wyświetlić ostatnią próbę logowania. Jest to wygodny sposób znajdowania prób logowania opartych na użytkownikach bez konieczności przeglądania wszystkich zdarzeń logowania w Podglądzie zdarzeń.

Aby wyświetlić historię logowania określonego użytkownika za pomocą wiersza polecenia:

  1. Naciskać Wygraj + R otworzyć Uruchomić.
  2. Typ cmd. Trzymając Ctrl + klawisz Shift, Kliknij OK. Spowoduje to otwarcie Wiersz polecenia jako administrator.
  3. W oknie wiersza polecenia wpisz następujące polecenie i naciśnij klawisz Enter:administrator użytkowników sieci | znajdźstr /B /C:"Ostatnie logowanie"
  4. W powyższym poleceniu zastąp „administrator” nazwą użytkownika, aby wyświetlić jego historię logowania.
  5. Na wyjściu pojawi się czas i data ostatniego logowania dla określonego użytkownika.

Wyświetlanie nieudanych i udanych prób logowania w systemie Windows

Jeśli podejrzewasz, że ktoś zalogował się do Twojego komputera, Podgląd zdarzeń prawdopodobnie wychwyci i zarejestruje tę próbę. Aby to zadziałało, musisz włączyć zasady inspekcji logowania w Edytorze zasad grupy. Możesz także użyć wiersza polecenia, aby wyświetlić historię logowania określonego użytkownika.

To powiedziawszy, każdy, kto zna się na Podglądzie zdarzeń, może łatwo wyczyścić dzienniki. Tak więc, jeśli już, wzmocnienie bezpieczeństwa komputera z systemem Windows jest najlepszym sposobem zapobiegania nieautoryzowanemu dostępowi. Możesz zacząć od ograniczenia liczby nieudanych prób logowania na komputerze z systemem Windows.