Čtenáři jako vy pomáhají podporovat MUO. Když provedete nákup pomocí odkazů na našich stránkách, můžeme získat provizi přidružené společnosti. Přečtěte si více.

Systém Windows umožňuje vytvořit více uživatelských účtů a umožnit více uživatelům používat jeden počítač. Ale co když máte podezření, že někdo bez vašeho vědomí získal přístup k vašemu počítači nebo uživatelskému účtu?

Zatímco fyzické sledování počítače po celou dobu není pro většinu lidí možné, vestavěný Nástroj pro protokolování Windows, Prohlížeč událostí, může odhalit nedávné aktivity ve vašem počítači, včetně přihlášení pokusy. Zde vám ukážeme, jak auditovat neúspěšné a úspěšné pokusy o přihlášení v systému Windows pomocí Prohlížeče událostí a dalších metod.

Jak povolit auditování přihlášení pomocí Editoru zásad skupiny

Abyste mohli zobrazit audit přihlášení v Prohlížeči událostí, musíte povolit auditování přihlášení v Editoru zásad skupiny. I když může být tato funkce na některých počítačích ve výchozím nastavení povolena, auditování přihlášení můžete povolit také ručně podle následujících kroků.

instagram viewer

Všimněte si, že Editor zásad skupiny je k dispozici pouze ve verzích Pro, Edu a Enterprise operačního systému Windows. Pokud používáte edici Home, postupujte podle našeho průvodce povolit gpedit v domácí edici Windows.

Všimněte si, že pokud nenakonfigurujete zásady skupiny pro auditování přihlášení, můžete úspěšné pokusy o přihlášení zobrazit pouze v prohlížeči událostí.

Jakmile povolíte Editor zásad skupiny, povolte audit přihlášení podle následujících kroků:

  1. lis Win + R otevřít Běh.
  2. Typ gpedit.msc a klikněte OK otevřít Editor zásad skupiny.
  3. Dále přejděte do následujícího umístění:Konfigurace počítače > Nastavení systému Windows > Bezpečnostní nastavení > Místní zásady > Zásady auditu
  4. V pravém podokně klepněte pravým tlačítkem na Auditujte události přihlášení a vyberte Vlastnosti.
  5. V Vlastnosti dialog, vyberte Úspěch a Selhání možnosti pod Audit těchto pokusů sekce.
  6. Klikněte Aplikovat a OK pro uložení změn.

Zavřete Editor zásad skupiny a přejděte k další sadě kroků k zobrazení pokusů o přihlášení v Prohlížeči událostí.

Jak zobrazit neúspěšné a úspěšné pokusy o přihlášení v prohlížeči událostí

The Prohlížeč událostí umožňuje zobrazit protokoly Windows pro aplikaci, zabezpečení, systém a další události. I když je to užitečná aplikace pro řešení problémů se systémem, můžete ji použít k auditu událostí přihlášení na počítači se systémem Windows.

Chcete-li zobrazit neúspěšné a úspěšné pokusy o přihlášení v systému Windows, postupujte takto:

  1. zmáčkni Win klíč a typ prohlížeč událostí. Případně klikněte na Vyhledávání na hlavním panelu a zadejte prohlížeč událostí.
  2. Klikněte na Prohlížeč událostí z výsledku vyhledávání jej otevřete.
  3. V levém podokně rozbalte Protokoly systému Windows sekce.
  4. Dále vyberte Bezpečnostní.
  5. V pravém podokně vyhledejte Událost 4624 vstup. Jedná se o ID události přihlášení uživatele a v protokolu událostí můžete najít více instancí tohoto ID.
  6. Chcete-li najít neúspěšné pokusy o přihlášení, vyhledejte ID události 2625 záznamy místo toho.
  7. Dále vyberte Událost 4624 záznam, který chcete zobrazit, a Prohlížeč událostí zobrazí všechny související informace ve spodní části. Případně klikněte pravým tlačítkem na záznam události a vyberte Vlastnosti pro zobrazení podrobných informací v novém okně.

Jak dešifrovat přihlašovací položky v prohlížeči událostí

Zatímco ID události 4624 je přidruženo k událostem přihlášení, pravděpodobně najdete v protokolu několik instancí této položky, které se vyskytují každých několik minut. To je způsobeno tím, že Prohlížeč událostí zaznamenává každou událost přihlášení (ať už z místního uživatelského účtu nebo systémových služeb, jako je zabezpečení Windows) se stejným ID události. (Událost 4624).

Pro identifikaci zdroje přihlášení klikněte pravým tlačítkem na záznam události a vyberte Vlastnosti. V Všeobecné přejděte dolů a vyhledejte Přihlašovací informace sekce. Tady, Typ přihlášení pole označuje druh přihlášení, ke kterému došlo.

Například, Typ přihlášení 5 označuje přihlášení založené na službě, zatímco Typ přihlášení 2 označuje uživatelské přihlášení. Další informace o různých typech přihlášení naleznete v tabulce níže.

Dále přejděte dolů na Nové přihlášení sekce a najděte Bezpečnostní ID. Zobrazí se uživatelský účet, který byl ovlivněn přihlášením.

Podobně v případě neúspěšných pokusů o přihlášení zkontrolujte ID události 4625. V Vlastnosti můžete najít důvody neúspěšného pokusu o přihlášení a dotčený uživatelský účet. Pokud najdete více případů neúspěšných pokusů, zvažte učení jak omezit počet neúspěšných pokusů o přihlášení k ochraně počítače se systémem Windows.

Níže je seznam všech devíti Typy přihlášení pro události přihlášení, se kterými se můžete setkat při kontrole událostí přihlášení v Prohlížeči událostí:

Typ přihlášení Popis
Typ přihlášení 2 K tomuto počítači se přihlásil místní uživatel.
Typ přihlášení 3 Uživatel se k tomuto počítači přihlásil ze sítě.
Typ přihlášení 4 Dávkový typ přihlášení bez zásahu uživatele – Naplánované úlohy atd.
Typ přihlášení 5 Přihlášení pomocí systémové služby spuštěné Správcem řízení služeb – nejběžnější typ
Typ přihlášení 7 Systém odemknutý uživatelem místního účtu
Typ přihlášení 8 NetworkClearText – Pokus o přihlášení přes síť, kam bylo heslo odesláno jako prostý text.
Typ přihlášení 9 NewCredentials – spustí se, když uživatel ke spuštění programu použije příkaz RunAs s možností /netonly.
Typ přihlášení 10 RemoteInteractive – generuje se při přístupu k počítači prostřednictvím nástroje pro vzdálený přístup, jako je připojení ke vzdálené ploše.
Typ přihlášení 11 CachedInteractive – Když se uživatel přihlásí k počítači přes konzolu pomocí pověření uložených v mezipaměti, když není k dispozici řadič domény.

Jak zobrazit historii posledního přihlášení pomocí příkazového řádku

Pro zobrazení posledního pokusu o přihlášení můžete použít příkazový řádek. Je to praktický způsob, jak najít uživatelské pokusy o přihlášení, aniž byste museli procházet všechny události přihlášení v Prohlížeči událostí.

Chcete-li zobrazit historii přihlášení konkrétního uživatele pomocí příkazového řádku:

  1. lis Win + R otevřít Běh.
  2. Typ cmd. Zatímco držíte Klávesa Ctrl + Shift, klikněte OK. Tím se otevře Příkazový řádek jako správce.
  3. V okně Příkazový řádek zadejte následující příkaz a stiskněte klávesu Enter:správce síťových uživatelů | findstr /B /C:"Poslední přihlášení"
  4. Ve výše uvedeném příkazu nahraďte „administrator“ uživatelským jménem, ​​aby se zobrazila jejich historie přihlášení.
  5. Výstup zobrazí čas a datum posledního přihlášení pro zadaného uživatele.

Zobrazení neúspěšných a úspěšných pokusů o přihlášení v systému Windows

Pokud máte podezření, že se někdo přihlásil k vašemu PC, Prohlížeč událostí pravděpodobně pokus zachytí a zaznamená. Aby to fungovalo, musíte povolit zásady auditování přihlášení v Editoru zásad skupiny. Příkazový řádek můžete také použít k zobrazení historie přihlášení konkrétního uživatele.

To znamená, že každý, kdo se vyzná v prohlížeči událostí, může snadno vymazat protokoly. Takže pokud něco, posílení zabezpečení počítače se systémem Windows je nejlepší způsob, jak zabránit neoprávněnému přístupu. Můžete začít omezením počtu neúspěšných pokusů o přihlášení na vašem počítači se systémem Windows.