Teiesugused lugejad aitavad MUO-d toetada. Kui teete ostu meie saidil olevate linkide abil, võime teenida sidusettevõtte komisjonitasu. Loe rohkem.

Windows võimaldab teil luua mitu kasutajakontot, et mitu kasutajat saaks kasutada ühte arvutit. Aga mis siis, kui kahtlustate, et keegi on teie arvutile või kasutajakontole teie teadmata juurde pääsenud?

Kuigi arvuti pidev füüsiline jälgimine ei ole enamiku inimeste jaoks teostatav, on sisseehitatud Windowsi logiutiliit Event Viewer võib näidata teie arvutis hiljutisi toiminguid, sealhulgas sisselogimist katsed. Siin näitame teile, kuidas sündmustevaaturi ja muude meetodite abil auditeerida ebaõnnestunud ja edukaid sisselogimiskatseid Windowsis.

Sisselogimise auditeerimise lubamine rühmapoliitika redaktori kaudu

Sündmusvaaturis sisselogimisauditi vaatamiseks peate lubama rühmapoliitika redaktoris sisselogimise auditi. Kuigi see funktsioon võib mõnes arvutis olla vaikimisi lubatud, saate neid samme järgides lubada ka käsitsi sisselogimise auditeerimise.

instagram viewer

Pange tähele, et rühmapoliitika redaktor on saadaval ainult Windows OS-i Pro, Edu ja Enterprise väljaandes. Kui kasutate koduväljaannet, järgige meie juhendit lubage Windowsi koduväljaandes gpedit.

Pange tähele, et kui te ei konfigureeri oma rühmapoliitikat sisselogimise auditeerimiseks, saate sündmustevaaturis vaadata ainult edukaid sisselogimiskatseid.

Kui olete rühmapoliitika redaktori lubanud, järgige sisselogimise auditeerimise lubamiseks järgmisi samme.

  1. Vajutage Win + R avama Jookse.
  2. Tüüp gpedit.msc ja klõpsake Okei avada Grupipoliitika redaktor.
  3. Järgmisena navigeerige järgmisse asukohta:Arvuti konfiguratsioon > Windowsi sätted > Turvaseaded > Kohalikud eeskirjad > Auditipoliitika
  4. Paremklõpsake parempoolsel paanil Sisselogimissündmuste auditeerimine ja valige Omadused.
  5. Aastal Omadused dialoogiboksis, valige Edu ja Ebaõnnestumine valikud all Kontrollige neid katseid osa.
  6. Klõpsake Rakenda ja Okei muudatuste salvestamiseks.

Sulgege rühmapoliitika redaktor ja liikuge sündmustevaaturis sisselogimiskatsete vaatamiseks järgmise sammu juurde.

Ebaõnnestunud ja edukate sisselogimiskatsete vaatamine sündmustevaaturis

The Sündmuste vaataja võimaldab vaadata Windowsi logisid rakenduse, turbe, süsteemi ja muude sündmuste kohta. Kuigi see on kasulik rakendus süsteemiprobleemide tõrkeotsinguks, saate seda kasutada oma Windowsi arvuti sisselogimissündmuste auditeerimiseks.

Ebaõnnestunud ja edukate sisselogimiskatsete vaatamiseks Windowsis toimige järgmiselt.

  1. Vajutage nuppu Võidu võti ja tüüp sündmuste vaataja. Teise võimalusena klõpsake nuppu Otsing tegumiribal ja tippige sündmuste vaataja.
  2. Kliki Sündmuste vaataja otsingutulemustest selle avamiseks.
  3. Laiendage vasakpoolsel paanil Windowsi logid osa.
  4. Järgmisena valige Turvalisus.
  5. Paremal paanil leidke Sündmus 4624 sisenemine. See on kasutaja sisselogimise sündmuse ID ja võite sündmuste logist leida selle ID mitu eksemplari.
  6. Ebaõnnestunud sisselogimiskatsete leidmiseks leidke asukoht Sündmuse ID 2625 sissekanded asemel.
  7. Järgmisena valige Sündmus 4624 kirje, mida soovite vaadata, ja Event Viewer kuvab kogu seotud teabe alumises jaotises. Teise võimalusena paremklõpsake sündmuse kirjel ja valige Omadused üksikasjaliku teabe kuvamiseks uues aknas.

Sisselogimiskirjete dešifreerimine sündmustevaaturis

Kuigi sündmuse ID 4624 on seotud sisselogimissündmustega, leiate logist tõenäoliselt iga paari minuti järel mitu selle kirje esinemisjuhtu. Selle põhjuseks on asjaolu, et Event Viewer salvestab iga sisselogimissündmuse (kas kohalikult kasutajakontolt või süsteemiteenustelt (nt Windowsi turvalisus)) sama sündmuse ID-ga (Sündmus 4624).

Sisselogimisallika tuvastamiseks paremklõpsake sündmuse kirjel ja valige Omadused. Aastal Kindral vahekaarti, kerige alla ja leidke Sisselogimisteave osa. Siin, Sisselogimise tüüp väli näitab, mis tüüpi sisselogimine toimus.

Näiteks, Sisselogimistüüp 5 tähistab teenusepõhist sisselogimist, samas kui Sisselogimistüüp 2 tähistab kasutajapõhist sisselogimist. Lisateavet erinevate sisselogimistüüpide kohta leiate allolevast tabelist.

Järgmisena kerige alla jaotiseni Uus sisselogimine jaotist ja otsige üles Turva ID. See näitab kasutajakontot, mida sisselogimine mõjutas.

Sarnaselt vaadake üle ebaõnnestunud sisselogimiskatsete puhul Sündmuse ID 4625. Aastal Omadused dialoogist leiate ebaõnnestunud sisselogimiskatse põhjused ja mõjutatud kasutajakonto. Kui leiate mitu ebaõnnestunud katset, kaaluge õppimist kuidas piirata ebaõnnestunud sisselogimiskatsete arvu oma Windowsi arvuti kaitsmiseks.

Allpool on nimekiri kõigist üheksast Sisselogimise tüübid sisselogimissündmuste jaoks, millega võite sündmustevaaturis sisselogimissündmusi üle vaadates kokku puutuda:

Sisselogimise tüüp Kirjeldus
Sisselogimistüüp 2 Kohalik kasutaja logis sellesse arvutisse sisse.
Sisselogimise tüüp 3 Kasutaja logis sellesse arvutisse võrgu kaudu sisse.
Sisselogimistüüp 4 Paki sisselogimise tüüp ilma kasutaja sekkumiseta – ajastatud ülesanded jne.
Sisselogimistüüp 5 Sisselogimine süsteemiteenusega, mille käivitas Service Control Manager – kõige levinum tüüp
Sisselogimistüüp 7 Süsteemi avas kohaliku konto kasutaja
Sisselogimistüüp 8 NetworkClearText – sisselogimiskatse võrgu kaudu, kus parool saadeti tekstina.
Sisselogimistüüp 9 NewCredentials – käivitub, kui kasutaja kasutab programmi käivitamiseks käsku RunAs koos suvandiga /netonly.
Sisselogimise tüüp 10 RemoteInteractive – luuakse, kui arvutile pääseb juurde kaugjuurdepääsu tööriista, näiteks kaugtöölaua ühenduse kaudu.
Sisselogimise tüüp 11 CachedInteractive – kui kasutaja logis vahemällu salvestatud mandaate kasutades konsooli kaudu arvutisse sisse, kui domeenikontroller pole saadaval.

Viimase sisselogimise ajaloo kuvamine käsuviiba abil

Viimase sisselogimiskatse vaatamiseks saate kasutada käsuviipa. See on mugav viis kasutajapõhiste sisselogimiskatsete leidmiseks, ilma et peaksite sündmustevaaturis kõiki sisselogimissündmusi läbima.

Konkreetse kasutaja sisselogimisajaloo vaatamiseks käsuviiba abil tehke järgmist.

  1. Vajutage Win + R avama Jookse.
  2. Tüüp cmd. Hoides käes Ctrl + tõstuklahv, klõpsake Okei. See avab Käsurida administraatorina.
  3. Tippige käsuviiba aknasse järgmine käsk ja vajutage sisestusklahvi:võrgukasutaja administraator | findstr /B /C:"Viimane sisselogimine"
  4. Ülaltoodud käsus asendage "administraator" kasutajanimega, et vaadata nende sisselogimisajalugu.
  5. Väljund näitab määratud kasutaja viimast sisselogimise aega ja kuupäeva.

Ebaõnnestunud ja edukate sisselogimiskatsete vaatamine Windowsis

Kui kahtlustate, et keegi on teie arvutisse sisse loginud, püüab sündmustevaatur tõenäoliselt katse kinni ja salvestab. Selle toimimiseks peate lubama rühmapoliitika redaktoris sisselogimise auditeerimise poliitika. Konkreetse kasutaja sisselogimisajaloo vaatamiseks saate kasutada ka käsuviipa.

See tähendab, et igaüks, kes tunneb sündmustevaaturit, saab logisid hõlpsalt kustutada. Seega on Windowsi arvuti turvalisuse tugevdamine parim viis volitamata juurdepääsu vältimiseks. Alustuseks võite piirata oma Windowsi arvutis ebaõnnestunud sisselogimiskatsete arvu.