Читатели като вас помагат в подкрепа на MUO. Когато правите покупка чрез връзки на нашия сайт, ние може да спечелим комисионна за партньор. Прочетете още.

Windows ви позволява да създавате множество потребителски акаунти, за да позволите на множество потребители да използват един компютър. Но какво ще стане, ако подозирате, че някой е получил достъп до вашия компютър или потребителски акаунт без ваше знание?

Докато физическото наблюдение на вашия компютър през цялото време не е осъществимо за повечето хора, вграденият Помощната програма за регистрационни файлове на Windows, Event Viewer, може да разкрие последните дейности на вашия компютър, включително влизане опити. Тук ви показваме как да проверявате неуспешни и успешни опити за влизане в Windows с помощта на Event Viewer и други методи.

Как да активирате проверка на влизане чрез редактор на групови правила

Трябва да активирате одит на влизане в редактора на групови правила, за да можете да преглеждате одит на влизане в Event Viewer. Въпреки че тази функция може да е активирана по подразбиране на някои компютри, можете също да активирате проверката на влизане ръчно, като следвате тези стъпки.

instagram viewer

Обърнете внимание, че редакторът на групови правила е наличен само в изданието Pro, Edu и Enterprise на операционната система Windows. Ако сте в домашното издание, следвайте нашето ръководство за активирайте gpedit в домашното издание на Windows.

Имайте предвид, че ако не конфигурирате вашите групови правила за проверка на влизане, можете да видите само успешните опити за влизане в Event Viewer.

След като сте активирали редактора на групови правила, изпълнете следните стъпки, за да активирате проверката на влизане:

  1. Натиснете Win + R да отвориш Бягай.
  2. Тип gpedit.msc и щракнете Добре за да отворите Редактор на групови правила.
  3. След това отидете до следното местоположение:Компютърна конфигурация > Настройки на Windows > Настройки на сигурността > Местни правила > Политика за одит
  4. В десния прозорец щракнете с десния бутон върху Одит на събития при влизане и изберете Имоти.
  5. В Имоти диалогов прозорец, изберете Успех и Провал опции под Одитирайте тези опити раздел.
  6. Кликнете Приложи и Добре за да запазите промените.

Затворете редактора на групови правила и преминете към следващия набор от стъпки, за да видите опитите за влизане в Event Viewer.

Как да видите неуспешни и успешни опити за влизане в Event Viewer

The Преглед на събития ви позволява да преглеждате регистрационни файлове на Windows за приложението, сигурността, системата и други събития. Въпреки че е полезно приложение за отстраняване на системни проблеми, можете да го използвате за проверка на събития при влизане на вашия компютър с Windows.

Следвайте тези стъпки, за да видите неуспешни и успешни опити за влизане в Windows:

  1. Натисни Ключ за победа и тип Преглед на събития. Друга възможност е да щракнете върху Търсене в лентата на задачите и въведете Преглед на събития.
  2. Кликнете върху Преглед на събития от резултата от търсенето, за да го отворите.
  3. В левия прозорец разгънете Регистри на Windows раздел.
  4. След това изберете Сигурност.
  5. В десния прозорец намерете Събитие 4624 влизане. Това е идентификатор на събитие за влизане на потребител и може да намерите множество екземпляри на този идентификатор в регистъра на събитията.
  6. За да намерите неуспешни опити за влизане, намерете ИД на събитие 2625 записи вместо това.
  7. След това изберете Събитие 4624 запис, който искате да видите, и Event Viewer ще покаже цялата свързана информация в долната секция. Друга възможност е да щракнете с десния бутон върху записа за събитие и да изберете Имоти за да видите подробна информация в нов прозорец.

Как да дешифрирате записите за влизане в Event Viewer

Докато събитие ID 4624 е свързано със събития за влизане, вероятно ще откриете множество екземпляри на този запис на всеки няколко минути в дневника. Това се дължи на Event Viewer, който записва всяко събитие за влизане (независимо дали от локалния потребителски акаунт или системни услуги като Windows Security) със същия идентификатор на събитие (Събитие 4624).

За да идентифицирате източника на влизане, щракнете с десния бутон върху записа на събитието и изберете Имоти. В Общ раздел, превъртете надолу и намерете Информация за влизане раздел. Ето, Тип влизане полето показва вида на извършеното влизане.

Например, Тип влизане 5 показва базирано на услуга влизане, докато Тип влизане 2 показва базирано на потребител влизане. Научете повече за различните типове влизане в таблицата по-долу.

След това превъртете надолу до Ново влизане раздел и намерете ID за сигурност. Това ще покаже потребителския акаунт, който е бил засегнат от влизането.

По същия начин прегледайте за неуспешни опити за влизане ИД на събитие 4625. В Имоти можете да намерите причините за неуспешния опит за влизане и засегнатия потребителски акаунт. Ако намерите множество случаи на неуспешни опити, помислете за обучение как да ограничите броя на неуспешните опити за влизане, за да защитите вашия компютър с Windows.

По-долу е списъкът на всичките девет Типове влизане за събития за влизане, които може да срещнете, преглеждайки събития за влизане в Event Viewer:

Тип влизане Описание
Тип влизане 2 Локален потребител е влязъл в този компютър.
Тип влизане 3 Потребител е влязъл в този компютър от мрежата.
Тип влизане 4 Пакетно влизане без намеса на потребителя – планирани задачи и др.
Тип влизане 5 Влизане чрез системна услуга, стартирана от Service Control Manager – Най-често срещаният тип
Тип влизане 7 Системата е отключена от потребител на локален акаунт
Тип влизане 8 NetworkClearText - Опит за влизане през мрежата, където паролата е изпратена като ясен текст.
Тип влизане 9 NewCredentials – задейства се, когато потребител използва командата RunAs с опцията /netonly, за да стартира програма.
Тип влизане 10 RemoteInteractive – Генерира се при достъп до компютър чрез инструмент за отдалечен достъп, като например връзка с отдалечен работен плот.
Тип влизане 11 CachedInteractive – Когато потребителят влезе в компютъра чрез конзола, използвайки кешираните идентификационни данни, когато домейн контролерът не е наличен.

Как да видите хронологията на последното влизане с помощта на командния ред

Можете да използвате командния ред, за да видите последния опит за влизане. Това е удобен начин за намиране на потребителски опити за влизане, без да се налага да преминавате през всички събития за влизане в Event Viewer.

За да видите хронологията на влизане на конкретен потребител с помощта на командния ред:

  1. Натиснете Win + R да отвориш Бягай.
  2. Тип cmd. Докато държите Клавиш Ctrl + Shift, щракнете Добре. Това ще отвори Командния ред като администратор.
  3. В прозореца на командния ред въведете следната команда и натиснете Enter:net user администратор | findstr /B /C:"Последно влизане"
  4. В горната команда заменете „administrator“ с потребителското име, за да видите тяхната хронология на влизане.
  5. Резултатът ще покаже времето и датата за последно влизане за посочения потребител.

Преглед на неуспешни и успешни опити за влизане в Windows

Ако подозирате, че някой е влязъл във вашия компютър, програмата за преглед на събития вероятно ще улови и запише опита. За да работи това, трябва да активирате политиката за проверка на влизане в редактора на групови правила. Можете също да използвате командния ред, за да видите хронологията на влизане на конкретен потребител.

Въпреки това всеки, който се ориентира в Event Viewer, може лесно да изчисти регистрационните файлове. Така че, ако не друго, подобряването на сигурността на вашия компютър с Windows е най-добрият начин за предотвратяване на неоторизиран достъп. Можете да започнете, като ограничите броя на неуспешните опити за влизане на вашия компютър с Windows.