Как я могу узнать, если кто-то вошел в мою учетную запись в Windows 7?

13

В Windows 7 есть способ узнать, входил ли кто-нибудь в мою учетную запись, когда меня не было?

В частности, можно ли узнать, попал ли человек с правами администратора в мою учетную запись (то есть, чтобы войти в мою электронную почту и т. Д.)?

windows-7 security Эрель Сегал-Халеви
источник
2
Зачем мне нужно войти? Я бы просто вытащил ваш жесткий диск, подключил его к моему и скопировал ваши электронные письма / файлы / суперсекретные материалы, даже не войдя в ваш ПК.
Грант

Ответы:

24

РЕКОМЕНДУЕМЫЙ МЕТОД РЕДАКТИРОВАНИЯ (пожалуйста, опишите Сьюзен Кэннон ниже)

  1. Нажмите Windowsкнопку + Rи введите eventvwr.msc.

  2. В окне просмотра событий разверните Журналы Windows и выберите Система.

  3. В середине вы увидите список с датой и временем, источником, идентификатором события и категорией задачи. Категория задач в значительной степени объясняет событие, вход в систему, специальный вход, выход из системы и другие детали.

События будут называться Winlogon , с идентификатором события 7001 .

Сведения о событии будут содержать входящий в систему UserSid учетной записи, который можно сопоставить со списком, полученным из командной строки с помощью:

wmic useraccount

Надеюсь это поможет!

Чтобы увидеть список, запустите «PowerShell» и вставьте следующий скрипт в его окно:

Get-EventLog system -Source Microsoft-Windows-Winlogon `
    | ? { $_.InstanceId -eq 7001 } `
    | ? {
            $sid = $_.ReplacementStrings[1]
            $objSID = New-Object System.Security.Principal.SecurityIdentifier ($sid)
            $objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
            $_ | Add-Member -Force -type NoteProperty -name User -value $objUser.Value
            return $true
        } `
    | ft -Property TimeGenerated,User

У вас будет куча системных логинов; они нормальные.

Что вы будете искать: Event ID 7001 - Winlogon.

На вкладке Сведения найдите UserSid

Указание логина будет выглядеть следующим образом: (win 8.1) Это, вероятно, будет отличаться в win 7

+ System
- EventData
   TSId        1
   User Sid    A-2-8-46-234435-6527-754372-3445

Затем откройте командную строку, нажав правую кнопку «Пуск» и выбрав ее.

Введите «wmic useraccount» и сопоставьте SID с предыдущим именем пользователя в длинном списке, который появится.

C:\Users\Superuser>wmic useraccount
AccountType  Caption  Description Disabled  Domain  FullName InstallDate
LocalAccount  Lockout  Name PasswordChangeable  PasswordExpires 
PasswordRequired  SID   SIDType  Status
512  ComputerName\Administrator   Built-in account for administering the
computer/domain  TRUE  ComputerName TRUE   FALSE  Administrator   TRUE
FALSE  TRUE A-2-8-46-234435-6527-754372-3447   1  Degraded

512  ComputerName\Superuser TRUE  ComputerName TRUE   FALSE  Superuser   TRUE
FALSE  TRUE **A-2-8-46-234435-6527-754372-3445**   1  Degraded

Из списка видно, что Superuser - это учетная запись, соответствующая SID.

следопыт
источник
Благодарность! Я на самом деле вижу 4 события для каждого успешного входа (самостоятельно): «Вход в систему - 4624», «Специальный вход в систему - 4672», «Вход в систему - 4648», «Вход в систему - 4624», все одновременно.
Эрл Сегал-Халеви
Примечание:  wmic useraccount get name,sidпроизводит намного более управляемый вывод.
Скотт
5

Ответ Pathfinder о проверке журнала событий даст вам знать, если кто-то вошел в ваш компьютер. Тем не менее, это не скажет вам, если они вошли в другой компьютер с вашей учетной записью. Вам нужно будет проверить эту машину или контроллер домена, чтобы увидеть логины с других машин.

Что касается электронных писем, это другая история. Как администратор Exchange, я могу читать электронные письма любого человека в нашей организации. Честно говоря, я не знаю, зарегистрирован ли этот доступ где-нибудь. Я уверен, что так и будет, но это будет доступно только администраторам Exchange.

Keltari
источник
@Pang: Спасибо за добавление ссылки и исправление пунктуации сокращений, но «почта» и «электронная почта», такие как «воздух», «вода», «песок» и сотни других, являются действительным коллективом (масса / не считать) существительные. Использование Келтари единственного (коллективного) «электронного письма» было хорошо, как в «Джентльмены не читают почту друг друга». и ты получил почту .
Скотт
@ Скотт Да, наверное, ты прав . Не стесняйтесь редактировать это назад. Благодарю.
Пан
2

Если вы находитесь в корпоративной сети, это не будет работать. Корпорации имеют всевозможные автоматические логины. Я посмотрел на событие 4648 или 4624, и входы в систему успешно регистрируются, даже когда людей нет в офисе (и нет, никто не крадется, чтобы войти в ПК). Их тысячи. Я только что вошел в ПК один раз, и есть 10 источников активности под 4624. Я не входил в систему 10 раз. Вчера под 4648 было 12 логинов, но никто в тот день не трогал ПК. Так что это не точный список логинов реальных людей.

Если вы хотите получить РЕАЛЬНУЮ информацию для входа в систему, перейдите в Систему в разделе Журналы Windows и выполните фильтрацию по событию 7001 . Это успешные WINLOGONS . Это соответствует пользовательским логинам и исключает системные логины за кулисами. Используя это, я нашел правильный список реальных живых пользователей, регистрирующих пользователей на ПК.

Но, к сожалению, это все еще не говорит мне, что ВОЗ вошла в систему. Наша компания не ведет эти записи, поскольку каждый день она будет длиться милю. Я смотрю на UserID в деталях, и UserID для моего входа в систему только сейчас совпадает с каждым другим UserID под каждым показанным логином. И это не мой компьютер, поэтому некоторые логины определенно не мои. Так что я не знаю об этой части.

Сьюзен Кэннон
источник
0

Windows 7 Ultimate подключена к домену, но входит в систему локально.

Я просто просмотрел журнал событий безопасности и понял, что единственный раз, когда я смог найти «законные» входы в систему, был ID 4648 . Это сработало для меня.

user3590052
источник