Windows vă permite să creați mai multe conturi de utilizator pentru a permite mai multor utilizatori să utilizeze un singur computer. Dar dacă bănuiți că cineva v-a accesat computerul sau contul de utilizator fără știrea dvs.?
În timp ce monitorizarea fizică a computerului dvs. tot timpul nu este fezabilă pentru majoritatea oamenilor, sistemul încorporat Utilitarul de jurnal Windows, Event Viewer, poate dezvălui activitățile recente de pe computer, inclusiv autentificarea încercări. Aici vă arătăm cum să auditați încercările de conectare eșuate și reușite în Windows folosind Vizualizatorul de evenimente și alte metode.
Cum să activați auditarea autentificărilor prin Editorul de politici de grup
Trebuie să activați auditul de conectare în Editorul de politici de grup pentru a putea vedea auditul de conectare în Vizualizatorul de evenimente. Deși această caracteristică poate fi activată în mod prestabilit pe unele computere, puteți, de asemenea, să activați manual auditarea conectării, urmând acești pași.
Rețineți că Editorul de politici de grup este disponibil numai în ediția Pro, Edu și Enterprise a sistemului de operare Windows. Dacă sunteți la ediția Home, urmați ghidul nostru pentru activați gpedit în Windows Home Edition.
Rețineți că, dacă nu vă configurați politica de grup pentru Auditul de conectare, puteți vedea numai încercările de conectare reușite în Vizualizatorul de evenimente.
După ce ați activat Editorul de politici de grup, urmați acești pași pentru a activa auditarea logării:
- presa Câștigă + R a deschide Alerga.
- Tip gpedit.msc și faceți clic Bine pentru a deschide Editor de politici de grup.
- Apoi, navigați la următoarea locație:
Configurarea computerului > Setări Windows > Setări de securitate > Politici locale > Politica de audit - În panoul din dreapta, faceți clic dreapta pe Auditează evenimentele de conectare și selectați Proprietăți.
- În Proprietăți dialog, selectați Succes și Eșec opțiuni în conformitate cu Auditează aceste încercări secțiune.
- Clic aplica și Bine pentru a salva modificările.
Închideți Editorul de politici de grup și treceți la următorul set de pași pentru a vedea încercările de conectare în Vizualizatorul de evenimente.
Cum să vizualizați încercările de conectare eșuate și reușite în Vizualizatorul de evenimente
The Vizualizator de eveniment vă permite să vizualizați jurnalele Windows pentru aplicație, securitate, sistem și alte evenimente. Deși este o aplicație utilă pentru depanarea problemelor sistemului, o puteți utiliza pentru a audita evenimentele de conectare pe computerul dvs. Windows.
Urmați acești pași pentru a vedea încercările de conectare eșuate și reușite în Windows:
- apasă pe Cheia Win și tip vizualizator de eveniment. Alternativ, faceți clic pe Căutare în bara de activități și tastați vizualizator de eveniment.
- Click pe Vizualizator de eveniment din rezultatul căutării pentru a-l deschide.
- În panoul din stânga, extindeți Jurnalele Windows secțiune.
- Apoi, selectați Securitate.
- În panoul din dreapta, localizați Evenimentul 4624 intrare. Este un ID de eveniment de conectare a utilizatorului și este posibil să găsiți mai multe instanțe ale acestui ID în jurnalul de evenimente.
- Pentru a găsi încercări eșuate de conectare, localizați ID eveniment 2625 intrări în schimb.
- Apoi, selectați Evenimentul 4624 intrarea pe care doriți să o vizualizați, iar Event Viewer va afișa toate informațiile aferente în secțiunea de jos. Alternativ, faceți clic dreapta pe intrarea evenimentului și selectați Proprietăți pentru a vizualiza informații detaliate într-o fereastră nouă.
Cum să descifrați intrările de conectare în Vizualizatorul de evenimente
Deși ID-ul evenimentului 4624 este asociat cu evenimente de conectare, probabil că veți găsi mai multe instanțe ale acestei intrări care apar la fiecare câteva minute în jurnal. Acest lucru se datorează faptului că Event Viewer înregistrează fiecare eveniment de conectare (fie din contul de utilizator local sau din serviciile de sistem, cum ar fi Windows Security) cu același ID de eveniment (Evenimentul 4624).
Pentru a identifica sursa de conectare, faceți clic dreapta pe înregistrarea evenimentului și selectați Proprietăți. În General fila, derulați în jos și localizați Informații de conectare secțiune. Aici Tip de conectare câmpul indică tipul de conectare care a avut loc.
De exemplu, Tip de conectare 5 indică o conectare bazată pe servicii, în timp ce Tip de conectare 2 indică autentificarea bazată pe utilizator. Aflați mai multe despre diferitele tipuri de conectare în tabelul de mai jos.
Apoi, derulați în jos la Conectare nouă secțiunea și localizați ID de securitate. Aceasta va afișa contul de utilizator care a fost afectat de conectare.
În mod similar, pentru încercările eșuate de conectare, examinați ID eveniment 4625. În Proprietăți dialog, puteți găsi motivele pentru încercarea eșuată de conectare și pentru contul de utilizator afectat. Dacă găsiți mai multe cazuri de încercări nereușite, luați în considerare învățarea cum să limitați numărul de încercări eșuate de conectare pentru a vă proteja computerul Windows.
Mai jos este lista tuturor celor nouă Tipuri de conectare pentru evenimentele de conectare pe care le puteți întâlni examinând evenimentele de conectare în Vizualizatorul de evenimente:
| Tip de conectare | Descriere |
| Tip de conectare 2 | Un utilizator local s-a conectat la acest computer. |
| Tip de conectare 3 | Un utilizator s-a conectat la acest computer din rețea. |
| Tip de conectare 4 | Tip de conectare în lot fără intervenția utilizatorului – Sarcini programate etc. |
| Tip de conectare 5 | Conectare de către serviciul de sistem început de Service Control Manager – Cel mai comun tip |
| Tip de conectare 7 | Sistem deblocat de un utilizator de cont local |
| Tip de conectare 8 | NetworkClearText - S-a încercat conectarea prin rețea unde parola a fost trimisă ca text clar. |
| Tip de conectare 9 | NewCredentials – declanșat atunci când un utilizator folosește comanda RunAs cu opțiunea /netonly pentru a porni un program. |
| Tip de conectare 10 | RemoteInteractive – Generat atunci când un computer este accesat printr-un instrument de acces la distanță, cum ar fi Remote Desktop Connection. |
| Tip de conectare 11 | CachedInteractive – Când utilizatorul s-a conectat la computer prin consolă utilizând acreditările din cache atunci când controlerul de domeniu nu este disponibil. |
Cum să vizualizați istoricul ultimei conectări folosind linia de comandă
Puteți utiliza linia de comandă pentru a vedea ultima încercare de conectare. Este o modalitate utilă de a găsi încercări de conectare bazate pe utilizator fără a fi nevoie să parcurgeți toate evenimentele de conectare în Vizualizatorul de evenimente.
Pentru a vizualiza istoricul de conectare al unui anumit utilizator utilizând linia de comandă:
- presa Câștigă + R a deschide Alerga.
- Tip cmd. În timp ce ține Ctrl + tasta Shift, faceți clic Bine. Aceasta va deschide Prompt de comandă ca administrator.
- În fereastra Prompt de comandă, tastați următoarea comandă și apăsați Enter:
administrator net user | findstr /B /C:"Ultima conectare" - În comanda de mai sus, înlocuiți „administrator” cu numele de utilizator pentru a vedea istoricul lor de conectare.
- Ieșirea va afișa ultima dată și ora de conectare pentru utilizatorul specificat.
Vizualizarea încercărilor de conectare eșuate și reușite în Windows
Dacă bănuiți că cineva s-a conectat la computerul dvs., Vizualizatorul de evenimente va prinde și va înregistra probabil încercarea. Pentru ca acest lucru să funcționeze, trebuie să activați politica Logon Auditing în Group Policy Editor. De asemenea, puteți utiliza Linia de comandă pentru a vedea istoricul de conectare al unui anumit utilizator.
Acestea fiind spuse, oricine își cunoaște modul în Vizualizatorul de evenimente poate șterge cu ușurință jurnalele. Deci, dacă este ceva, îmbunătățirea securității computerului Windows este cea mai bună modalitate de a preveni accesul neautorizat. Puteți începe prin a limita numărul de încercări eșuate de conectare pe computerul dvs. Windows.
