Čitatelia ako vy pomáhajú podporovať MUO. Keď uskutočníte nákup pomocou odkazov na našej stránke, môžeme získať pridruženú províziu. Čítaj viac.

Systém Windows vám umožňuje vytvoriť viacero používateľských účtov, aby viacerí používatelia mohli používať jeden počítač. Čo však robiť, ak máte podozrenie, že niekto získal prístup k vášmu počítaču alebo používateľskému účtu bez vášho vedomia?

Zatiaľ čo fyzické sledovanie počítača po celú dobu nie je pre väčšinu ľudí možné, vstavaný Pomôcka denníka systému Windows, Zobrazovač udalostí, môže odhaliť nedávne aktivity vo vašom počítači vrátane prihlásenia pokusov. Tu vám ukážeme, ako auditovať neúspešné a úspešné pokusy o prihlásenie v systéme Windows pomocou nástroja Event Viewer a iných metód.

Ako povoliť auditovanie prihlásenia pomocou Editora zásad skupiny

Ak chcete zobraziť audit prihlásenia v Zobrazovači udalostí, musíte povoliť audit prihlásenia v Editore zásad skupiny. Aj keď môže byť táto funkcia na niektorých počítačoch predvolene povolená, audit prihlásenia môžete povoliť aj manuálne podľa týchto krokov.

instagram viewer

Všimnite si, že Editor zásad skupiny je dostupný iba vo verziách Pro, Edu a Enterprise operačného systému Windows. Ak používate edíciu Home, postupujte podľa nášho sprievodcu povoliť gpedit v domácom vydaní systému Windows.

Všimnite si, že ak nenakonfigurujete skupinovú politiku pre audit prihlásenia, úspešné pokusy o prihlásenie môžete zobraziť iba v Zobrazovači udalostí.

Po aktivácii Editora zásad skupiny povoľte audit prihlásenia podľa týchto krokov:

  1. Stlačte tlačidlo Win + R na otvorenie Bežať.
  2. Typ gpedit.msc a kliknite OK otvoriť Editor skupinovej politiky.
  3. Ďalej prejdite na nasledujúce miesto:Konfigurácia počítača > Nastavenia systému Windows > Bezpečnostné nastavenia > Miestne pravidlá > Zásady auditu
  4. Na pravej table kliknite pravým tlačidlom myši na Audit prihlasovacích udalostí a vyberte Vlastnosti.
  5. V Vlastnosti dialógové okno, vyberte Úspech a Neúspech možnosti pod Audit týchto pokusov oddiele.
  6. Kliknite Použiť a OK aby sa zmeny uložili.

Zatvorte Editor politiky skupiny a prejdite na ďalší súbor krokov na zobrazenie pokusov o prihlásenie v Zobrazovači udalostí.

Ako zobraziť neúspešné a úspešné pokusy o prihlásenie v prehliadači udalostí

The Prehliadač udalostí umožňuje zobraziť denníky systému Windows pre aplikáciu, zabezpečenie, systém a ďalšie udalosti. Hoci je to užitočná aplikácia na riešenie problémov so systémom, môžete ju použiť na audit udalostí prihlásenia na vašom počítači so systémom Windows.

Ak chcete zobraziť neúspešné a úspešné pokusy o prihlásenie do systému Windows, postupujte podľa týchto krokov:

  1. Stlačte tlačidlo Win kľúč a typ prehliadač udalostí. Prípadne kliknite na Vyhľadávanie na paneli úloh a zadajte prehliadač udalostí.
  2. Kliknite na Prehliadač udalostí z výsledku vyhľadávania, aby ste ho otvorili.
  3. Na ľavej table rozbaľte Denníky systému Windows oddiele.
  4. Ďalej vyberte Bezpečnosť.
  5. Na pravej table nájdite Udalosť 4624 vstup. Ide o ID udalosti prihlásenia používateľa a v denníku udalostí môžete nájsť viacero inštancií tohto ID.
  6. Ak chcete nájsť neúspešné pokusy o prihlásenie, vyhľadajte ID udalosti 2625 záznamy.
  7. Ďalej vyberte Udalosť 4624 záznam, ktorý chcete zobraziť, a Zobrazovač udalostí zobrazí všetky súvisiace informácie v spodnej časti. Prípadne kliknite pravým tlačidlom myši na záznam udalosti a vyberte Vlastnosti pre zobrazenie podrobných informácií v novom okne.

Ako dešifrovať prihlasovacie položky v prehliadači udalostí

Zatiaľ čo ID udalosti 4624 je spojené s udalosťami prihlásenia, v denníku pravdepodobne nájdete niekoľko inštancií tohto záznamu, ktoré sa vyskytujú každých pár minút. Je to spôsobené tým, že Zobrazovač udalostí zaznamenáva každú udalosť prihlásenia (či už z lokálneho používateľského účtu alebo systémových služieb, ako je zabezpečenie systému Windows) s rovnakým ID udalosti. (Udalosť 4624).

Ak chcete identifikovať zdroj prihlásenia, kliknite pravým tlačidlom myši na záznam udalosti a vyberte Vlastnosti. V generál prejdite nadol a vyhľadajte Prihlasovacie informácie oddiele. Tu, Typ prihlásenia pole označuje druh prihlásenia, ku ktorému došlo.

Napríklad, Typ prihlásenia 5 označuje prihlásenie založené na službe, zatiaľ čo Typ prihlásenia 2 označuje prihlásenie používateľa. Viac informácií o rôznych typoch prihlásenia nájdete v tabuľke nižšie.

Ďalej prejdite nadol na Nové prihlásenie sekciu a nájdite Bezpečnostné ID. Zobrazí sa používateľský účet, ktorý bol ovplyvnený prihlásením.

Podobne v prípade neúspešných pokusov o prihlásenie skontrolujte ID udalosti 4625. V Vlastnosti môžete nájsť dôvody neúspešného pokusu o prihlásenie a dotknutý používateľský účet. Ak nájdete viacero prípadov neúspešných pokusov, zvážte učenie ako obmedziť počet neúspešných pokusov o prihlásenie na ochranu počítača so systémom Windows.

Nižšie je uvedený zoznam všetkých deviatich Typy prihlásenia pre udalosti prihlásenia, s ktorými sa môžete stretnúť pri kontrole udalostí prihlásenia v prehliadači udalostí:

Typ prihlásenia Popis
Typ prihlásenia 2 Na tento počítač sa prihlásil lokálny používateľ.
Typ prihlásenia 3 Používateľ sa k tomuto počítaču prihlásil zo siete.
Typ prihlásenia 4 Dávkový typ prihlásenia bez zásahu používateľa – Naplánované úlohy atď.
Typ prihlásenia 5 Prihlásenie pomocou systémovej služby spustenej správcom riadenia služieb – najbežnejší typ
Typ prihlásenia 7 Systém odblokoval lokálny používateľ účtu
Typ prihlásenia 8 NetworkClearText - Pokus o prihlásenie cez sieť, kde bolo heslo odoslané ako čistý text.
Typ prihlásenia 9 NewCredentials – spustí sa, keď používateľ použije príkaz RunAs s možnosťou /netonly na spustenie programu.
Typ prihlásenia 10 RemoteInteractive – vygeneruje sa, keď sa k počítaču pristupuje prostredníctvom nástroja vzdialeného prístupu, ako je napríklad pripojenie k vzdialenej ploche.
Typ prihlásenia 11 CachedInteractive – keď sa používateľ prihlásil do počítača cez konzolu pomocou poverení uložených vo vyrovnávacej pamäti, keď radič domény nie je dostupný.

Ako zobraziť históriu posledného prihlásenia pomocou príkazového riadka

Na zobrazenie posledného pokusu o prihlásenie môžete použiť príkazový riadok. Je to praktický spôsob, ako nájsť používateľské pokusy o prihlásenie bez toho, aby ste museli prechádzať všetkými udalosťami prihlásenia v prehliadači udalostí.

Ak chcete zobraziť históriu prihlásenia konkrétneho používateľa pomocou príkazového riadka:

  1. Stlačte tlačidlo Win + R na otvorenie Bežať.
  2. Typ cmd. Počas držania Kláves Ctrl + Shift, kliknite OK. Tým sa otvorí Príkazový riadok ako správca.
  3. V okne Príkazový riadok zadajte nasledujúci príkaz a stlačte kláves Enter:správca používateľov siete | findstr /B /C:"Posledné prihlásenie"
  4. Vo vyššie uvedenom príkaze nahraďte „administrátor“ používateľským menom, aby ste si mohli pozrieť históriu prihlásenia.
  5. Na výstupe sa zobrazí čas a dátum posledného prihlásenia zadaného používateľa.

Zobrazenie neúspešných a úspešných pokusov o prihlásenie v systéme Windows

Ak máte podozrenie, že sa niekto prihlásil do vášho počítača, Prehliadač udalostí tento pokus pravdepodobne zachytí a zaznamená. Aby to fungovalo, musíte povoliť politiku auditovania prihlásenia v Editore zásad skupiny. Príkazový riadok môžete použiť aj na zobrazenie histórie prihlásenia konkrétneho používateľa.

To znamená, že každý, kto sa vyzná v prehliadači udalostí, môže denníky ľahko vymazať. Takže ak niečo, zvýšenie zabezpečenia počítača so systémom Windows je najlepší spôsob, ako zabrániť neoprávnenému prístupu. Môžete začať obmedzením počtu neúspešných pokusov o prihlásenie na počítači so systémom Windows.