Kaltaisesi lukijat auttavat tukemaan MUO: ta. Kun teet ostoksen käyttämällä sivustollamme olevia linkkejä, voimme ansaita kumppanipalkkion. Lue lisää.

Windowsin avulla voit luoda useita käyttäjätilejä, jotta useat käyttäjät voivat käyttää yhtä tietokonetta. Mutta entä jos epäilet jonkun käyttäneen tietokonettasi tai käyttäjätiliäsi tietämättäsi?

Vaikka tietokoneen jatkuva fyysinen valvonta ei ole mahdollista useimmille ihmisille, sisäänrakennettu Windowsin lokiapuohjelma, Event Viewer, voi paljastaa viimeisimmät tietokoneesi toiminnot, mukaan lukien kirjautumisen yrityksiä. Tässä näytämme, kuinka voit tarkastaa epäonnistuneita ja onnistuneita kirjautumisyrityksiä Windowsissa Event Viewerin ja muiden menetelmien avulla.

Kirjautumisen tarkastuksen ottaminen käyttöön ryhmäkäytäntöeditorin kautta

Sinun on otettava kirjautumisen valvonta käyttöön ryhmäkäytäntöeditorissa, jotta voit tarkastella kirjautumisen tarkastusta Event Viewerissa. Vaikka tämä ominaisuus voi olla oletusarvoisesti käytössä joissakin tietokoneissa, voit ottaa kirjautumisen tarkastuksen käyttöön myös manuaalisesti noudattamalla näitä ohjeita.

instagram viewer

Huomaa, että ryhmäkäytäntöeditori on saatavilla vain Windows-käyttöjärjestelmän Pro-, Edu- ja Enterprise-versioissa. Jos käytät Home-versiota, seuraa oppaamme Ota gpedit käyttöön Windowsin kotiversiossa.

Huomaa, että jos et määritä kirjautumisen valvonnan ryhmäkäytäntöä, voit tarkastella vain onnistuneita kirjautumisyrityksiä Event Viewerissa.

Kun olet ottanut ryhmäkäytäntöeditorin käyttöön, ota kirjautumisen valvonta käyttöön seuraavasti:

  1. Lehdistö Win + R avata Juosta.
  2. Tyyppi gpedit.msc ja napsauta OK avaamaan Ryhmäkäytäntöeditori.
  3. Siirry seuraavaksi seuraavaan sijaintiin:Tietokoneen kokoonpano > Windowsin asetukset > Turvallisuusasetukset > Paikalliset käytännöt > Tarkastuspolitiikka
  4. Napsauta oikeanpuoleisessa ruudussa hiiren kakkospainikkeella Tarkista kirjautumistapahtumat ja valitse Ominaisuudet.
  5. Vuonna Ominaisuudet valintaikkuna, valitse Menestys ja Epäonnistuminen vaihtoehdot alla Tarkista nämä yritykset osio.
  6. Klikkaus Käytä ja OK tallentaaksesi muutokset.

Sulje ryhmäkäytäntöeditori ja siirry seuraaviin vaiheisiin nähdäksesi kirjautumisyritykset Event Viewerissa.

Epäonnistuneiden ja onnistuneiden kirjautumisyritysten tarkasteleminen Event Viewerissa

The Tapahtuman katselija voit tarkastella Windows-lokeja sovelluksen, suojauksen, järjestelmän ja muiden tapahtumien osalta. Vaikka se on hyödyllinen sovellus järjestelmäongelmien vianmääritykseen, voit käyttää sitä kirjautumistapahtumien tarkastamiseen Windows-tietokoneellasi.

Seuraa näitä ohjeita nähdäksesi epäonnistuneet ja onnistuneet kirjautumisyritykset Windowsissa:

  1. paina Win avain ja tyyppi tapahtuman katselija. Vaihtoehtoisesti napsauta Hae tehtäväpalkissa ja kirjoita tapahtuman katselija.
  2. Klikkaa Tapahtuman katselija hakutuloksesta avataksesi sen.
  3. Laajenna vasemmassa ruudussa Windowsin lokit osio.
  4. Valitse seuraavaksi Turvallisuus.
  5. Etsi oikeanpuoleisesta ruudusta Tapahtuma 4624 sisääntulo. Se on käyttäjän kirjautumistapahtumatunnus, ja tapahtumalokista voi löytyä useita tämän tunnuksen esiintymiä.
  6. Etsi epäonnistuneet kirjautumisyritykset etsimällä Tapahtumatunnus 2625 merkintöjä sen sijaan.
  7. Valitse seuraavaksi Tapahtuma 4624 merkinnän, jonka haluat tarkastella, ja Event Viewer näyttää kaikki siihen liittyvät tiedot alaosassa. Vaihtoehtoisesti napsauta hiiren kakkospainikkeella tapahtumamerkintää ja valitse Ominaisuudet tarkastellaksesi yksityiskohtaisia ​​tietoja uudessa ikkunassa.

Kirjautumismerkintöjen purkaminen Event Viewerissa

Vaikka tapahtumatunnus 4624 liittyy kirjautumistapahtumiin, löydät todennäköisesti useita tämän merkinnän esiintymiä muutaman minuutin välein lokista. Tämä johtuu siitä, että Event Viewer tallentaa jokaisen kirjautumistapahtuman (joko paikalliselta käyttäjätililtä tai järjestelmäpalveluista, kuten Windows Security) samalla tapahtumatunnuksella (Tapahtuma 4624).

Voit tunnistaa kirjautumislähteen napsauttamalla tapahtumatietuetta hiiren kakkospainikkeella ja valitsemalla Ominaisuudet. Vuonna Kenraali -välilehti, vieritä alas ja etsi Kirjautumistiedot osio. Tässä, Kirjautumistyyppi -kenttä osoittaa, millaista kirjautumista tapahtui.

Esimerkiksi, Kirjautumistyyppi 5 tarkoittaa palvelupohjaista kirjautumista, kun taas Kirjautumistyyppi 2 tarkoittaa käyttäjäkohtaista kirjautumista. Lisätietoja eri kirjautumistyypeistä on alla olevassa taulukossa.

Vieritä seuraavaksi alas kohtaan Uusi kirjautuminen -osio ja etsi Turvatunnus. Tämä näyttää käyttäjätilin, johon kirjautuminen vaikutti.

Samoin tarkista epäonnistuneet kirjautumisyritykset Tapahtumatunnus 4625. Vuonna Ominaisuudet -valintaikkunassa voit etsiä epäonnistuneen kirjautumisyrityksen syyt ja ongelman aiheuttaneen käyttäjätilin. Jos huomaat useita epäonnistuneita yrityksiä, harkitse oppimista kuinka rajoittaa epäonnistuneiden kirjautumisyritysten määrää Windows-tietokoneesi suojaamiseksi.

Alla on luettelo kaikista yhdeksästä Kirjautumistyypit kirjautumistapahtumat, joita saatat kohdata tarkastellessasi kirjautumistapahtumia Event Viewerissa:

Kirjautumistyyppi Kuvaus
Kirjautumistyyppi 2 Paikallinen käyttäjä kirjautui tähän tietokoneeseen.
Kirjautumistyyppi 3 Käyttäjä kirjautui tähän tietokoneeseen verkosta.
Kirjautumistyyppi 4 Eräkirjautumistyyppi ilman käyttäjän toimia – ajoitetut tehtävät jne.
Kirjautumistyyppi 5 Sisäänkirjautuminen Service Control Managerin aloittaman järjestelmäpalvelun kautta – Yleisin tyyppi
Kirjautumistyyppi 7 Paikallisen tilin käyttäjä on avannut järjestelmän lukituksen
Kirjautumistyyppi 8 NetworkClearText - Kirjautuminen yritettiin verkon kautta, jossa salasana lähetettiin tekstinä.
Kirjautumistyyppi 9 NewCredentials – laukeaa, kun käyttäjä käynnistää ohjelman käyttämällä RunAs-komentoa /netonly-vaihtoehdon kanssa.
Kirjautumistyyppi 10 RemoteInteractive – Luodaan, kun tietokonetta käytetään etäkäyttötyökalun, kuten Remote Desktop Connection, kautta.
Kirjautumistyyppi 11 CachedInteractive – Kun käyttäjä kirjautui tietokoneeseen konsolin kautta käyttämällä välimuistissa olevia tunnistetietoja, kun toimialueen ohjauskone ei ole käytettävissä.

Kuinka tarkastella viimeisintä kirjautumishistoriaa komentokehotteen avulla

Voit tarkastella viimeisintä kirjautumisyritystä komentokehotteen avulla. Se on kätevä tapa löytää käyttäjäkohtaisia ​​kirjautumisyrityksiä ilman, että sinun tarvitsee käydä läpi kaikki kirjautumistapahtumat Event Viewerissa.

Tietyn käyttäjän kirjautumishistorian tarkasteleminen komentokehotteen avulla:

  1. Lehdistö Win + R avata Juosta.
  2. Tyyppi cmd. Kun pidät Ctrl + Shift-näppäin, klikkaus OK. Tämä avaa Komentokehote järjestelmänvalvojana.
  3. Kirjoita komentokehote-ikkunaan seuraava komento ja paina Enter:verkkokäyttäjän ylläpitäjä | findstr /B /C:"Viimeinen kirjautuminen"
  4. Korvaa yllä olevassa komennossa "administrator" käyttäjänimellä nähdäksesi heidän kirjautumishistoriansa.
  5. Tulos näyttää määritetyn käyttäjän viimeisen kirjautumisajan ja päivämäärän.

Epäonnistuneiden ja onnistuneiden kirjautumisyritysten katseleminen Windowsissa

Jos epäilet jonkun kirjautuneen tietokoneellesi, Event Viewer todennäköisesti sieppaa ja tallentaa yrityksen. Jotta tämä toimisi, sinun on otettava käyttöön kirjautumisen valvontakäytäntö ryhmäkäytäntöeditorissa. Voit myös tarkastella tietyn käyttäjän kirjautumishistoriaa komentokehotteen avulla.

Jokainen, joka tuntee tapansa tapahtumien katseluohjelmassa, voi kuitenkin helposti tyhjentää lokit. Joten jos mitään, Windows-tietokoneen suojauksen parantaminen on paras tapa estää luvaton käyttö. Voit aloittaa rajoittamalla epäonnistuneiden kirjautumisyritysten määrää Windows-tietokoneellasi.