Я точно знаю, что был вдали от своего ноутбука Windows 7 Home Premium с 12:35 до 14:37. Но eventvwr.exe показывает следующее:
- 28/10/2015 14:54:25 Event ID 4624 (тип доступа: 2)
- 28/10/2015 14:36:44 Event ID 4624 (тип доступа: 7)
- 28/10/2015 13:08:52 Событие с кодом 4624 (тип доступа: 5)
- 28/10/2015 12:19:01 Событие с кодом 4624 (тип доступа: 5)
- 28/10/2015 12:17:59 Событие с кодом 4624 (тип доступа: 2)
Кажется, что кто-то (у кого есть ключ от моего дома) вошел в систему в 13:08:52, когда меня не было.
Как это возможно?
Я абсолютно уверен, что никто не знает мой пароль. Это уникально, и я не использую это где-нибудь еще.
Есть ли способ, которым событие с кодом 4624 могло бы соответствовать чему-то, кроме входящего физического лица, или есть какой-то способ, которым кто-то мог бы войти грубой силой, о которой я не знаю? Благодарю.
РЕДАКТИРОВАТЬ: Вот подробности, относящиеся к доступу в 13:08:52 (еще раз, извините, если журнал на итальянском языке, я использую локализованную версию Windows):
Accesso di un account riuscito.
Soggetto:
ID sicurezza: SYSTEM
Nome account: NEIL-PC$
Dominio account: WORKGROUP
ID accesso: 0x3e7
Tipo di accesso: 5
Nuovo accesso:
ID sicurezza: SYSTEM
Nome account: SYSTEM
Dominio account: NT AUTHORITY
ID accesso: 0x3e7
GUID accesso: {00000000-0000-0000-0000-000000000000}
Informazioni sul processo:
ID processo: 0x2a0
Nome processo: C:\Windows\System32\services.exe
Informazioni di rete:
Nome workstation:
Indirizzo rete di origine: -
Porta di origine: -
Informazioni di autenticazione dettagliate:
Processo di accesso: Advapi
Pacchetto di autenticazione: Negotiate
Servizi transitati: -
Nome pacchetto (solo NTLM): -
Lunghezza chiave: 0
Questo evento viene generato quando viene creata una sessione di accesso. Viene generato nel computer in cui è stato effettuato l'accesso.
Il campo Soggetto indica l'account nel sistema locale che ha richiesto l'accesso. Generalmente si tratta di un servizio, quale il servizio Server, o di un processo locale, ad esempio Winlogon.exe o Services.exe.
Il campo Tipo di accesso indica il tipo di accesso che è stato effettuato. I tipi più comuni sono 2 (interattivo) e 3 (rete).
Il campo Nuovo accesso indica l'account per il quale è stato creato il nuovo accesso, vale a dire l'account che ha effettuato l'accesso.
Il campo Informazioni di rete indica l'origine della richiesta di accesso remota. Il nome della workstation non è sempre disponibile e può essere vuoto in alcuni casi.
Il campo Informazioni di autenticazione fornisce informazioni dettagliate sulla specifica richiesta di accesso.
- GUID accesso è un identificatore univoco che può essere utilizzato per correlare questo evento a un evento KDC.
- Servizi transitati indica quali servizi intermedi hanno partecipato alla richiesta di accesso.
- Nome pacchetto indica quale sottoprotocollo dei protocolli NTLM è stato utilizzato.
- Lunghezza chiave indica la lunghezza della chiave di sessione generata. Se non è stata richiesta alcuna chiave di sessione, la lunghezza sarà pari a zero.