Як я можу дізнатися, чи хтось увійшов до мого облікового запису в Windows 7?

13

Чи є в Windows 7 спосіб дізнатися, чи хтось увійшов у мій обліковий запис, коли я був відсутній?

Зокрема, чи можна дізнатися, чи людина, яка має права адміністратора, якось увійшла до мого облікового запису (тобто для того, щоб потрапити на мій електронний лист тощо)?

windows-7  security 
Ерел Сегал-Халеві
джерело
2
Чому мені потрібно увійти? Я просто витягніть ваш жорсткий диск, підключіть його до моєї та скопіюйте електронну пошту / файли / надпотаємні речі, не ввійшовши ніколи у свій ПК.
Грант

Відповіді:

24

Рекомендований метод ВИДАЛЕНО (Будь ласка, оновіть Сьюзен Кеннон внизу):

  1. Натисніть Windowsкнопку + Rі введіть eventvwr.msc.

  2. У програмі перегляду подій розгорніть журнали Windows та виберіть Система.

  3. У середині ви побачите список із датою та часом, джерелом, ідентифікатором події та категорією завдань. Категорія завдань в значній мірі пояснює подію, вхід в систему, спеціальний вхід в систему, вихід на сайт та інші деталі.

Події будуть називатися Winlogon , з ідентифікатором події 7001 .

Інформація про подію міститиме вхід у систему UserSid of Account, який ви можете зіставити зі списком, отриманим з командного рядка, використовуючи:

wmic useraccount

Сподіваюся, це допомагає!

Щоб переглянути список, запустіть "PowerShell" та вставте наступний сценарій у своє вікно:

Get-EventLog system -Source Microsoft-Windows-Winlogon `
    | ? { $_.InstanceId -eq 7001 } `
    | ? {
            $sid = $_.ReplacementStrings[1]
            $objSID = New-Object System.Security.Principal.SecurityIdentifier ($sid)
            $objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
            $_ | Add-Member -Force -type NoteProperty -name User -value $objUser.Value
            return $true
        } `
    | ft -Property TimeGenerated,User

У вас буде купа системних входів; вони нормальні.

Що ви будете шукати: Ідентифікатор події 7001 - Winlogon.

На вкладці "Подробиці" шукайте UserSid

Вказівка ​​на вхід буде виглядати приблизно так: (виграш 8.1) Це, ймовірно, буде різним у виграші 7

+ System
- EventData
   TSId        1
   User Sid    A-2-8-46-234435-6527-754372-3445

Потім відкрийте командний рядок, натиснувши правою кнопкою миші кнопку запуску та вибравши її.

Введіть "wmic useraccount" і порівняйте SID з попереднім ім'ям користувача у довгому списку, який з'являється.

C:\Users\Superuser>wmic useraccount
AccountType  Caption  Description Disabled  Domain  FullName InstallDate
LocalAccount  Lockout  Name PasswordChangeable  PasswordExpires 
PasswordRequired  SID   SIDType  Status
512  ComputerName\Administrator   Built-in account for administering the
computer/domain  TRUE  ComputerName TRUE   FALSE  Administrator   TRUE
FALSE  TRUE A-2-8-46-234435-6527-754372-3447   1  Degraded

512  ComputerName\Superuser TRUE  ComputerName TRUE   FALSE  Superuser   TRUE
FALSE  TRUE **A-2-8-46-234435-6527-754372-3445**   1  Degraded

Зі списку ми бачимо, що Superuser - це обліковий запис, що відповідає SID.

Pathfinder
джерело
Спасибі! Я фактично бачу 4 події на кожен успішний вхід (власноруч): "Вхід - 4624", "Спеціальний логотип - 4672", "Вхід - 4648", "Вхід - 4624", і все одночасно.
Ерел Сегал-Халеві
Примітка:  wmic useraccount get name,sidдає набагато більш керований вихід.
Скотт
5

Відповідь Pathfinder щодо перевірки журналу подій дасть вам знати, чи хтось увійшов у ваш комп’ютер. Однак це не скаже вам, якщо вони увійшли в інший комп'ютер із вашим обліковим записом. Вам потрібно буде перевірити цю машину чи контролер домену, щоб побачити входи з інших машин.

Щодо електронних листів, то це вже інша історія. Як адміністратор Exchange, я можу читати електронні листи будь-кого в нашій організації. Чесно кажучи, я не знаю, чи цей доступ десь записаний. Я впевнений, що так би було, але це було б доступне лише адміністраторам Exchange.

Кельтарі
джерело
@Pang: Дякуємо за додавання посилання та виправлення пунктуації скорочень, але "пошта" та "електронна пошта", наприклад "повітря", "вода", "пісок" та сотні інших, є дійсними колективними (масові / не- рахувати) іменники. Використання єдиного (колективного) "електронного листа" Кельтарі було чудово, оскільки в "Панове не читають пошти один одному". і Ви отримали пошту .
Скотт
@Scott Так, я думаю, ти маєш рацію . Не соромтесь редагувати цю спинку. Спасибі.
Панг
2

Якщо ви перебуваєте у корпоративній мережі, це не спрацює. У корпорацій є всілякі автоматичні входи. Я переглянув будь-яку подію 4648 або 4624, і логотипи успішно реєструються, навіть коли людей немає в офісі (і ні, ніхто не підкрадається, щоб увійти на ПК). Їх тисячі. Я лише один раз увійшов до ПК, і є 10 джерел активності під 4624. Я не входив 10 разів. Вчора було 12 логінів під 4648, але ніхто не торкався ПК у той день. Тож це не точний список реальних даних про вхід.

Якщо ви хочете , щоб інформація РЕАЛ входу в систему , перейти до системи під Windows , журнали і фільтр на події 7001 . Це успішні WINLOGONS . Це відповідає реєстраційним користувачам і виключає системні входи за кадром. Використовуючи це, я знайшов відповідний список реальних вхідних користувачів користувачів на ПК.

Але, на жаль, він досі не говорить мені, хто Входив у систему. Наша компанія не веде цих записів, оскільки це було б милі щодня. Я переглядаю UserID у деталях, і UserID для мене, який я ввійшов зараз, відповідає кожному іншому UserID під кожним показаним входом. І це не мій ПК, тому деякі входи, безумовно, не мої. Тож я не знаю про цю частину.

Сьюзен Кеннон
джерело
0

Windows 7 Ultimate підключений до домену, але здійснює локальний вхід.

Я щойно пройшов журнал подій безпеки і зрозумів, що єдиний раз, коли я міг знайти «законні» логотипи, було призначено ID 4648 . Це працювало для мене.

user3590052
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.