Как проверить успешность или неудачность попыток входа в систему на компьютере с Windows
Windows позволяет создавать несколько учетных записей пользователей, что дает возможность нескольким пользователям использовать один компьютер. Но что делать, если вы подозреваете, что кто-то получил доступ к вашему ПК или учетной записи без вашего ведома?
Хотя постоянный физический мониторинг компьютера для большинства людей непрактичен, встроенная утилита журналов Windows, «Просмотр событий», может показать недавнюю активность на вашем компьютере, включая попытки входа в систему. Здесь мы покажем вам, как использовать «Просмотр событий» и другие методы для проверки неудачных и успешных попыток входа в Windows.
рекомендуют:10 способов открыть средство «Сведения о системе» в Windows
Как включить аудит входов в систему с помощью редактора групповых политик
Для просмотра журнала событий в журнале событий необходимо включить аудит входов в систему в редакторе групповых политик. Хотя на некоторых компьютерах эта функция может быть включена по умолчанию, вы также можете включить аудит входов в систему вручную, выполнив следующие действия.
Обратите внимание, что редактор групповых политик доступен только для версий Windows Professional, Education и Enterprise. Если вы используете версию Home, следуйте нашему руководству, чтобы включить gpedit в Windows Home.
Обратите внимание, что если вы не настроили групповую политику для аудита входов в систему, в журнале событий будут отображаться только успешные попытки входа.
После включения редактора групповых политик выполните следующие действия, чтобы включить аудит входов в систему:
- в соответствии с выиграть + R Открыть бегать.
- тип gpedit.msc Затем нажмите ХОРОШО Открыть Редактор политики группы.
- Далее перейдите по следующей ссылке:
Конфигурация компьютера > Настройки Windows > Настройки безопасности > Местные политики > Политика аудита - В правой панели щелкните правой кнопкой мыши. Просмотреть событие входа в систему И выберите характерный.
Как проверить успешность или неудачность попыток входа в систему на компьютере с Windows
- Внутри характерный В диалоговом окне выберите успех и неудача Следующие варианты Проанализируйте эти попытки. часть.
- Нажмите Применять и ХОРОШО Сохраните изменения.
Закройте редактор групповых политик и перейдите к следующим шагам, чтобы просмотреть попытку входа в систему в журнале событий.
Как просмотреть неудачные и успешные попытки входа в систему в журнале событий?
Программа «Просмотр событий» позволяет просматривать журналы событий Windows, касающиеся приложений, безопасности, системы и других событий. Хотя это полезное приложение для устранения неполадок системы, его также можно использовать для аудита событий входа в систему на вашем ПК с Windows.
Чтобы просмотреть неудачные и успешные попытки входа в Windows, выполните следующие действия:
- Пожалуйста, нажмите Ключ Win И ввод Просмотр событий. Или нажмите поиск Введите текст в строке задач Просмотр событий.
- Нажмите Просмотр событий Откройте его из результатов поиска.
- В левой панели разверните Журналы Windows часть.
- Далее выберите Безопасность.
- В правой панели найдите Событие 4624 Точка входа. Это идентификатор события входа пользователя в систему, и в журнале событий может быть обнаружено несколько таких идентификаторов.
- Чтобы найти неудачные попытки входа в систему, пожалуйста, перейдите по следующей ссылке: Идентификатор события 2625 Записи заменены.
- Далее выберите Событие 4624 В окне просмотра событий вся необходимая информация о интересующей вас записи будет отображена внизу страницы. В качестве альтернативы, щелкните правой кнопкой мыши запись события и выберите... характерный Подробности отобразятся в новом окне.
рекомендуют:Как создать зимнюю сказку в Linux с помощью расширений GNOME
Как расшифровать записи о входе в систему в журнале событий
Хотя событие с идентификатором 4624 связано с событием входа в систему, вы можете обнаружить несколько таких записей в журналах каждые несколько минут. Это происходит потому, что средство просмотра событий использует один и тот же идентификатор события для регистрации каждого события входа в систему (будь то локальная учетная запись пользователя или системная служба, такая как безопасность Windows). (Событие 4624)).
Чтобы определить источник входа в систему, щелкните правой кнопкой мыши по журналу событий и выберите... характерныйВнутри Общий Вкладки, прокрутите вниз и найдите Информация для входа Часть. Здесь, тип входа В этом поле указан тип выполненного входа в систему.
Например, Тип входа 5 Это указывает на авторизацию через сервис, в то время как Тип входа 2 Это означает авторизацию на основе имени пользователя. Более подробную информацию о различных типах авторизации см. в таблице ниже.
Далее прокрутите вниз до Новый вход Частично и найдено Номер безопасностиЗдесь отобразятся учетные записи пользователей, затронутые входом в систему.
Аналогично, информацию о неудачных попытках входа в систему см. в разделе... Идентификатор события 4625Внутри характерный В диалоговом окне отобразится причина неудачной попытки входа в систему и затронутые учетные записи пользователей. Если вы обнаружите несколько случаев неудачных попыток входа в систему, рассмотрите возможность ограничения количества таких попыток для защиты вашего компьютера под управлением Windows.
Вот все девять списков. тип входа Чтобы просмотреть события входа в систему, пожалуйста, сделайте это в журнале событий:
| тип входа | описывать |
| Тип входа 2 | Локальные пользователи входят в систему на этом компьютере. |
| Тип входа 3 | Пользователи входят в систему на этом компьютере из сети. |
| Тип входа 4 | Типы пакетного входа в систему, не требующие вмешательства пользователя, например, запланированные задачи. |
| Тип входа 5 | Вход в системные службы осуществляется через диспетчер служб — наиболее распространенный тип. |
| Тип входа 7 | Система разблокирована пользователем локальной учетной записи. |
| Тип входа 8 | NetworkClearText – Попытка входа в систему по сети путем отправки пароля в открытом виде. |
| Тип входа 9 | NewCredentials – срабатывает, когда пользователь запускает программу с помощью команды RunAs с параметром /netonly. |
| Введите логин 10 | RemoteInteractive — это событие, которое происходит при доступе к компьютеру через средство удаленного доступа, такое как Remote Desktop Connection. |
| Тип входа 11 | CachedInteractive — использует кэшированные учетные данные для входа в компьютер через консоль, когда контроллер домена недоступен. |
Как просмотреть историю последних входов в систему с помощью командной строки?
Вы можете использовать командную строку для просмотра последней попытки входа в систему. Это удобный способ найти попытки входа в систему по пользователю, не просматривая все события входа в журнал событий.
Чтобы просмотреть историю входов конкретного пользователя в систему с помощью командной строки:
- в соответствии с Win+R Открыть бегать.
- тип ЗаказОдновременное удержание Клавиши Ctrl + ShiftНажмите ХОРОШОЭто откроется. Командная строка В качестве администратора.
- В окне командной строки введите следующую команду и нажмите Enter:
net user administrator | findstr /B /C:"Последний вход в систему" - В приведенной выше команде замените "administrator" на имя пользователя, чтобы просмотреть историю входов в систему.
- В результате будет отображено время и дата последнего входа указанного пользователя в систему.
Просмотр неудачных и успешных попыток входа в Windows.
Если вы подозреваете, что кто-то вошел в систему вашего компьютера, средство просмотра событий может зафиксировать и зарегистрировать попытку входа. Для этого необходимо включить политику аудита входов в систему в редакторе групповых политик. Вы также можете использовать командную строку для просмотра истории входов в систему конкретного пользователя.
Другими словами, любой, кто знаком с Просмотром событий, может легко очистить журналы. Поэтому, по возможности, усиление безопасности вашего компьютера под управлением Windows — лучший способ предотвратить несанкционированный доступ. Вы можете начать с ограничения количества неудачных попыток входа в систему на вашем ПК под управлением Windows.
Chinese (China) 
English 
Chinese (Taiwan) 
Russian 
Japanese