如何在Windows電腦上檢查成功或失敗的登入嘗試
Windows 可讓您建立多個使用者帳戶,讓多個使用者使用一台電腦。 但是,如果您懷疑有人在您不知情的情況下造訪了您的PC 或使用者帳戶怎麼辦?
雖然對大多數人來說,始終以物理方式監視您的電腦是不可行的,但內建的Windows 日誌實用程式事件檢視器可以揭示您電腦上最近的活動,包括登入嘗試。 在這裡,我們向您展示如何使用事件檢視器和其他方法在Windows 中審核失敗和成功的登入嘗試。
推薦:在Windows上開啟系統資訊工具的10種方法
如何透過群組原則編輯器啟用登入審核
您需要在群組原則編輯器中啟用登入審核才能在事件檢視器中查看登入審核。 雖然此功能可能在某些電腦上預設啟用,但您也可以按照下列步驟手動啟用登入審核。
請注意,群組原則編輯器僅適用於Windows 作業系統的專業版、教育版和企業版。 如果您使用的是家用版,請依照我們的指南在Windows 家用版中啟用gpedit。
請注意,如果您沒有為登入審核配置群組策略,您只能在事件檢視器中查看成功的登入嘗試。
啟用群組原則編輯器後,請依照下列步驟啟用登入稽核:
- 按 贏 + R 打開 跑步.
- 類型 gpedit.msc 然後點擊 好的 打開 群組原則編輯器。
- 接下來,導航到以下位置:
電腦配置 > Windows 設定 > 安全設定 > 地方政策 > 審計政策 - 在右窗格中,以滑鼠右鍵按一下 審核登入事件 並選擇 特性.
如何在Windows電腦上檢查成功或失敗的登入嘗試
- 在裡面 特性 對話框,選擇 成功 和 失敗 下的選項 審核這些嘗試 部分。
- 點選 申請 和 好的 儲存更改。
關閉群組原則編輯器並轉到下一組步驟以在事件檢視器中查看登入嘗試。
如何在事件檢視器中查看失敗和成功的登入嘗試
事件檢視器可讓您查看應用程式、安全性、系統和其他事件的Windows 日誌。 雖然是解決系統問題的有用應用程序,但您可以使用它來審核Windows PC 上的登入事件。
請依照下列步驟查看Windows 中失敗且成功的登入嘗試:
- 請按 贏鍵 並輸入 事件檢視器。 或者,單擊 搜尋 在工作列中輸入 事件檢視器。
- 點選 事件檢視器 從搜尋結果中打開它。
- 在左窗格中,展開 Windows 紀錄 部分。
- 接下來,選擇 安全.
- 在右窗格中,找到 事件4624 入口。 它是一個使用者登入事件ID,您可能會在事件日誌中找到該ID 的多個實例。
- 要查找失敗的登入嘗試,請找到 事件ID 2625 條目代替。
- 接下來,選擇 事件4624 您要查看的條目,事件檢視器將在底部顯示所有相關資訊。 或者,右鍵單擊事件條目並選擇 特性 在新視窗中查看詳細資訊。
推薦:如何使用GNOME擴充在Linux上建立冬季仙境
如何破解事件檢視器中的登入條目
雖然事件ID 4624 與登入事件相關聯,但您可能會在日誌中每隔幾分鐘發現此條目的多個實例。 這是因為事件檢視器使用相同的事件ID 來記錄每個登入事件(無論是來自本機使用者帳戶或系統服務,例如Windows 安全性) (事件4624).
若要識別登入來源,請右鍵點選事件記錄並選擇 特性. 在裡面 一般的 選項卡,向下滾動並找到 登入訊息 部分。 在這裡, 登入類型 欄位指示發生的登入類型。
例如, 登入類型 5 表示基於服務的登錄,而 登入類型 2 表示基於使用者的登入。 在下表中了解有關不同登入類型的更多資訊。
接下來,向下捲動到 新登入 部分並找到 安全編號. 這將顯示受登入影響的使用者帳戶。
同樣,對於失敗的登入嘗試,請查看 事件ID 4625. 在裡面 特性 對話框,您可以找到登入嘗試失敗的原因和受影響的使用者帳戶。 如果您發現多個失敗嘗試實例,請考慮學習如何限制失敗登入嘗試的次數以保護您的Windows PC。
以下是所有九個列表 登入類型 對於您可能遇到的登入事件,請在事件檢視器中查看登入事件:
| 登入類型 | 描述 |
| 登入類型 2 | 本機使用者登入此電腦。 |
| 登入類型 3 | 使用者從網路登入這台電腦。 |
| 登入類型 4 | 無需使用者乾預的大量登入類型—規劃任務等。 |
| 登入類型 5 | 透過服務控制管理員啟動的系統服務登入-最常見的類型 |
| 登入類型 7 | 由本地帳號用戶解鎖的系統 |
| 登入類型 8 | NetworkClearText – 嘗試透過以明文形式傳送密碼的網路登入。 |
| 登入類型 9 | NewCredentials – 當使用者使用帶有/netonly 選項的RunAs 命令啟動程式時觸發。 |
| 登入類型10 | RemoteInteractive – 透過遠端存取工具(如遠端桌面連線)存取電腦時產生。 |
| 登入類型11 | CachedInteractive – 當使用者在網域控制站不可用時使用快取的憑證透過控制台登入電腦。 |
如何使用命令提示字元查看上次登入記錄
您可以使用命令提示字元查看上次登入嘗試。 這是一種尋找基於使用者的登入嘗試的簡單方法,而無需查看事件檢視器中的所有登入事件。
若要使用命令提示字元查看特定使用者的登入記錄:
- 按 贏+ R 打開 跑.
- 類型 命令. 同時持有 Ctrl + Shift 鍵, 點選 好的. 這將會打開 命令提示符 作為管理員。
- 在命令提示字元視窗中,鍵入以下命令並按Enter:
net user administrator | findstr /B /C:"上次登入" - 在上面的命令中,將“administrator”替換為使用者名稱以查看其登入記錄。
- 輸出將顯示指定使用者的上次登入時間和日期。
在Windows 中查看失敗和成功的登入嘗試
如果您懷疑有人登入了您的PC,事件檢視器可能會擷取並記錄這次嘗試。 為此,您必須在群組原則編輯器中啟用登入審核原則。 您也可以使用命令提示字元查看特定使用者的登入記錄。
也就是說,任何熟悉事件檢視器的人都可以輕鬆清除日誌。 因此,如果有的話,加強Windows 電腦安全是防止未經授權存取的最佳方法。 您可以先限制Windows PC 上的失敗登入嘗試次數。
Chinese (China) 
English 
Chinese (Taiwan) 
Russian 
Japanese