В Windows 7 есть ли способ узнать, если кто-то вошел в мою учетную запись, когда я отсутствовал?
В частности, возможно ли узнать, попал ли человек с правами администратора в мою учетную запись (то есть, чтобы войти в мою электронную почту и т.д.)?
4 ответа
24
РЕКОМЕНДУЕМЫЙ МЕТОД РЕДАКТИРОВАНИЯ (Пожалуйста, добавьте Сьюзен Кэннон внизу):
Нажмите кнопку Windows + R и введите
eventvwr.msc.В окне просмотра событий разверните Журналы Windows и выберите Система.
В середине вы увидите список с датой и временем, источником, идентификатором события и категорией задачи. Категория задач в значительной степени объясняет событие, вход в систему, специальный вход, выход из системы и другие подробности.
События будут называться Winlogon, с идентификатором события 7001.
Сведения о событии будут содержать входящий в систему UserSid учетной записи, который можно сопоставить со списком, полученным из командной строки с помощью:
wmic useraccount
Надеюсь это поможет!
Чтобы увидеть список, запустите "PowerShell" и вставьте следующий скрипт в его окно:
Get-EventLog system -Source Microsoft-Windows-Winlogon `
| ? { $_.InstanceId -eq 7001 } `
| ? {
$sid = $_.ReplacementStrings[1]
$objSID = New-Object System.Security.Principal.SecurityIdentifier ($sid)
$objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
$_ | Add-Member -Force -type NoteProperty -name User -value $objUser.Value
return $true
} `
| ft -Property TimeGenerated,User
У вас будет куча системных логинов; они нормальные.
Что вы будете искать: Event ID 7001 - Winlogon.
На вкладке Сведения найдите UserSid
Указание логина будет выглядеть так: (win 8.1) Вероятно, это будет отличаться в win 7
+ System
- EventData
TSId 1
User Sid A-2-8-46-234435-6527-754372-3445
Затем откройте командную строку, нажав правую кнопку «Пуск» и выбрав ее.
Введите "wmic useraccount" и сопоставьте SID с предыдущим именем пользователя в длинном списке, который появится.
C:\Users\Superuser>wmic useraccount
AccountType Caption Description Disabled Domain FullName InstallDate
LocalAccount Lockout Name PasswordChangeable PasswordExpires
PasswordRequired SID SIDType Status
512 ComputerName\Administrator Built-in account for administering the
computer/domain TRUE ComputerName TRUE FALSE Administrator TRUE
FALSE TRUE A-2-8-46-234435-6527-754372-3447 1 Degraded
512 ComputerName\Superuser TRUE ComputerName TRUE FALSE Superuser TRUE
FALSE TRUE **A-2-8-46-234435-6527-754372-3445** 1 Degraded
Из списка видно, что Superuser - это учетная запись, соответствующая SID.
5
Ответ Pathfinder о проверке журнала событий даст вам знать, если кто-то вошел в ваш компьютер. Тем не менее, это не скажет вам, если они вошли в другой компьютер с вашей учетной записью. Вам придется проверить эту машину или контроллер домена, чтобы увидеть логины с других машин.
Что касается электронных писем, это другая история. Как администратор Exchange, я могу читать электронные письма любого человека в нашей организации. Честно говоря, я не знаю, зарегистрирован ли этот доступ где-нибудь. Я уверен, что так и будет, но это будет доступно только администраторам Exchange.
2
Если вы находитесь в корпоративной сети, это не будет работать. Корпорации имеют все виды автоматического входа. Я посмотрел на событие 4648 или 4624, и входы в систему успешно регистрируются, даже когда людей нет в офисе (и нет, никто не крадется, чтобы войти в ПК). Их тысячи. Я только что вошел в ПК один раз, и есть 10 источников активности под 4624. Я не входил в систему 10 раз. Вчера было зарегистрировано 12 логинов под 4648, но никто в тот день никого не трогал. Так что это не точный список логинов реальных людей.
Если вы хотите получить РЕАЛЬНУЮ информацию для входа в систему, перейдите в Систему в разделе Журналы Windows и отфильтруйте событие 7001. Это успешные WINLOGONS. Это соответствует пользовательским логинам и исключает системные логины за кулисами. Используя это, я нашел правильный список реальных пользовательских входов пользователей в систему на ПК.
Но, к сожалению, это все еще не говорит мне, кто вошел в систему. Наша компания не ведет эти записи, поскольку каждый день она будет длиться милю. Я смотрю на UserID в деталях, и UserID для моего входа в систему только сейчас совпадает с каждым другим UserID под каждым показанным логином. И это не мой компьютер, поэтому некоторые логины определенно не мои. Так что я не знаю об этой части.
0
Windows 7 Ultimate подключена к домену, но входит в систему локально.
Я просто просмотрел журнал событий безопасности и понял, что единственный раз, когда я смог найти "законные" входы в систему, был ID 4648. Это сработало для меня.