13

В Windows 7 есть ли способ узнать, если кто-то вошел в мою учетную запись, когда я отсутствовал?

В частности, возможно ли узнать, попал ли человек с правами администратора в мою учетную запись (то есть, чтобы войти в мою электронную почту и т.д.)?

4 ответа4

24

РЕКОМЕНДУЕМЫЙ МЕТОД РЕДАКТИРОВАНИЯ (Пожалуйста, добавьте Сьюзен Кэннон внизу):

  1. Нажмите кнопку Windows + R и введите eventvwr.msc .

  2. В окне просмотра событий разверните Журналы Windows и выберите Система.

  3. В середине вы увидите список с датой и временем, источником, идентификатором события и категорией задачи. Категория задач в значительной степени объясняет событие, вход в систему, специальный вход, выход из системы и другие подробности.

События будут называться Winlogon, с идентификатором события 7001.

Сведения о событии будут содержать входящий в систему UserSid учетной записи, который можно сопоставить со списком, полученным из командной строки с помощью:

wmic useraccount 

Надеюсь это поможет!


Чтобы увидеть список, запустите "PowerShell" и вставьте следующий скрипт в его окно:

Get-EventLog system -Source Microsoft-Windows-Winlogon `
    | ? { $_.InstanceId -eq 7001 } `
    | ? {
            $sid = $_.ReplacementStrings[1]
            $objSID = New-Object System.Security.Principal.SecurityIdentifier ($sid)
            $objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
            $_ | Add-Member -Force -type NoteProperty -name User -value $objUser.Value
            return $true
        } `
    | ft -Property TimeGenerated,User

У вас будет куча системных логинов; они нормальные.

Что вы будете искать: Event ID 7001 - Winlogon.

На вкладке Сведения найдите UserSid

Указание логина будет выглядеть так: (win 8.1) Вероятно, это будет отличаться в win 7

+ System
- EventData
   TSId        1
   User Sid    A-2-8-46-234435-6527-754372-3445

Затем откройте командную строку, нажав правую кнопку «Пуск» и выбрав ее.

Введите "wmic useraccount" и сопоставьте SID с предыдущим именем пользователя в длинном списке, который появится.

C:\Users\Superuser>wmic useraccount
AccountType  Caption  Description Disabled  Domain  FullName InstallDate
LocalAccount  Lockout  Name PasswordChangeable  PasswordExpires 
PasswordRequired  SID   SIDType  Status
512  ComputerName\Administrator   Built-in account for administering the
computer/domain  TRUE  ComputerName TRUE   FALSE  Administrator   TRUE
FALSE  TRUE A-2-8-46-234435-6527-754372-3447   1  Degraded

512  ComputerName\Superuser TRUE  ComputerName TRUE   FALSE  Superuser   TRUE
FALSE  TRUE **A-2-8-46-234435-6527-754372-3445**   1  Degraded

Из списка видно, что Superuser - это учетная запись, соответствующая SID.

5

Ответ Pathfinder о проверке журнала событий даст вам знать, если кто-то вошел в ваш компьютер. Тем не менее, это не скажет вам, если они вошли в другой компьютер с вашей учетной записью. Вам придется проверить эту машину или контроллер домена, чтобы увидеть логины с других машин.

Что касается электронных писем, это другая история. Как администратор Exchange, я могу читать электронные письма любого человека в нашей организации. Честно говоря, я не знаю, зарегистрирован ли этот доступ где-нибудь. Я уверен, что так и будет, но это будет доступно только администраторам Exchange.

2

Если вы находитесь в корпоративной сети, это не будет работать. Корпорации имеют все виды автоматического входа. Я посмотрел на событие 4648 или 4624, и входы в систему успешно регистрируются, даже когда людей нет в офисе (и нет, никто не крадется, чтобы войти в ПК). Их тысячи. Я только что вошел в ПК один раз, и есть 10 источников активности под 4624. Я не входил в систему 10 раз. Вчера было зарегистрировано 12 логинов под 4648, но никто в тот день никого не трогал. Так что это не точный список логинов реальных людей.

Если вы хотите получить РЕАЛЬНУЮ информацию для входа в систему, перейдите в Систему в разделе Журналы Windows и отфильтруйте событие 7001. Это успешные WINLOGONS. Это соответствует пользовательским логинам и исключает системные логины за кулисами. Используя это, я нашел правильный список реальных пользовательских входов пользователей в систему на ПК.

Но, к сожалению, это все еще не говорит мне, кто вошел в систему. Наша компания не ведет эти записи, поскольку каждый день она будет длиться милю. Я смотрю на UserID в деталях, и UserID для моего входа в систему только сейчас совпадает с каждым другим UserID под каждым показанным логином. И это не мой компьютер, поэтому некоторые логины определенно не мои. Так что я не знаю об этой части.

0

Windows 7 Ultimate подключена к домену, но входит в систему локально.

Я просто просмотрел журнал событий безопасности и понял, что единственный раз, когда я смог найти "законные" входы в систему, был ID 4648. Это сработало для меня.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .