Skąd mam wiedzieć, czy ktoś zalogował się na moje konto w systemie Windows 7?

13

Czy w systemie Windows 7 można sprawdzić, czy ktoś zalogował się na moje konto, gdy mnie nie było?

W szczególności, czy można wiedzieć, czy osoba z uprawnieniami administratora jakoś weszła na moje konto (tj. Aby uzyskać dostęp do poczty e-mail itp.)?

windows-7 security Erel Segal-Halevi
źródło
2
Dlaczego miałbym się logować? Po prostu wyciągnę twój dysk twardy, podłączę go do mojego i skopiuję twój e-mail / pliki / super tajne rzeczy bez logowania się na twoim komputerze.
Grant

Odpowiedzi:

24

Zalecana metoda EDYCJA (proszę głosować poniżej Susan Cannon):

  1. Naciśnij Windowsprzycisk + Ri wpisz eventvwr.msc.

  2. W przeglądarce zdarzeń rozwiń Dzienniki systemu Windows i wybierz System.

  3. Na środku zobaczysz listę z datą i godziną, źródłem, identyfikatorem zdarzenia i kategorią zadania. Kategoria zadania wyjaśnia w przybliżeniu zdarzenie, logowanie, logowanie specjalne, wylogowanie i inne szczegóły.

Zdarzenia będą się nazywać Winlogon , o identyfikatorze zdarzenia 7001 .

Szczegóły zdarzenia będą zawierały identyfikator użytkownika konta, który można dopasować do listy uzyskanej z wiersza polecenia za pomocą:

wmic useraccount

Mam nadzieję że to pomoże!

Aby zobaczyć listę, uruchom „PowerShell” i wklej następujący skrypt w jego oknie:

Get-EventLog system -Source Microsoft-Windows-Winlogon `
    | ? { $_.InstanceId -eq 7001 } `
    | ? {
            $sid = $_.ReplacementStrings[1]
            $objSID = New-Object System.Security.Principal.SecurityIdentifier ($sid)
            $objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
            $_ | Add-Member -Force -type NoteProperty -name User -value $objUser.Value
            return $true
        } `
    | ft -Property TimeGenerated,User

Będziesz miał kilka loginów systemowych; są normalni.

Czego będziesz szukać: Identyfikator zdarzenia 7001 - Winlogon.

Na karcie Szczegóły poszukaj UserSid

Wskazanie loginu będzie wyglądać następująco: (wygrana 8.1) Prawdopodobnie będzie inaczej w win 7

+ System
- EventData
   TSId        1
   User Sid    A-2-8-46-234435-6527-754372-3445

Następnie otwórz wiersz polecenia, klikając prawym przyciskiem myszy przycisk Start i wybierając go.

Wpisz „konto użytkownika wmic” i dopasuj identyfikator SID do poprzedniej nazwy użytkownika na wyświetlonej długiej liście.

C:\Users\Superuser>wmic useraccount
AccountType  Caption  Description Disabled  Domain  FullName InstallDate
LocalAccount  Lockout  Name PasswordChangeable  PasswordExpires 
PasswordRequired  SID   SIDType  Status
512  ComputerName\Administrator   Built-in account for administering the
computer/domain  TRUE  ComputerName TRUE   FALSE  Administrator   TRUE
FALSE  TRUE A-2-8-46-234435-6527-754372-3447   1  Degraded

512  ComputerName\Superuser TRUE  ComputerName TRUE   FALSE  Superuser   TRUE
FALSE  TRUE **A-2-8-46-234435-6527-754372-3445**   1  Degraded

Z listy wynika, że Superuser jest kontem pasującym do SID.

Pionier
źródło
Dzięki! Właściwie widzę 4 zdarzenia dla każdego udanego logowania (osobiście): „Logon - 4624”, „Special Logon - 4672”, „Logon - 4648”, „Logon - 4624”, wszystkie jednocześnie.
Erel Segal-Halevi
Uwaga:  wmic useraccount get name,siddaje znacznie łatwiejsze wyjście.
Scott
5

Odpowiedź Pathfindera na sprawdzenie dziennika zdarzeń da ci znać, jeśli ktoś zalogował się na twoim komputerze. Nie powie to jednak, czy zalogowali się na innym komputerze za pomocą konta. Będziesz musiał sprawdzić ten komputer lub kontroler domeny, aby zobaczyć dane logowania z innych komputerów.

Jeśli chodzi o e-maile, to inna historia. Jako administrator Exchange mogę czytać e-maile wszystkich osób w naszej organizacji. Szczerze mówiąc, nie wiem, czy ten dostęp jest nigdzie logowany. Jestem pewien, że tak, ale byłoby to dostępne tylko dla administratorów Exchange.

Keltari
źródło
@Pang: Dziękujemy za dodanie linku i naprawienie interpunkcji skurczów, ale „poczta” i „e-mail”, takie jak „powietrze”, „woda”, „piasek” i setki innych, są ważne zbiorowo (masa / nie liczyć rzeczowniki. Używanie przez Keltari pojedynczego (zbiorowego) „e-maila” było w porządku, podobnie jak w „Panowie nie czytają sobie nawzajem poczty”. i masz pocztę .
Scott
@ Scott Tak , myślę, że masz rację . Możesz je edytować ponownie. Dzięki.
Pang
2

Jeśli jesteś w sieci firmowej, to nie zadziała. Korporacje mają różnego rodzaju automatyczne logowanie. Patrzyłem na zdarzenie 4648 lub 4624 i loginy są pomyślnie logowane nawet wtedy, gdy ludzie nie są w biurze (i nie, nikt nie wkrada się, aby zalogować się na komputery PC). Jest ich tysiące. Właśnie raz zalogowałem się na komputerze i istnieje 10 źródeł aktywności poniżej 4624. Nie zalogowałem się 10 razy. Wczoraj było 12 loginów poniżej 4648, ale nikt nie dotknął komputera przez cały dzień. To nie jest dokładna lista logowań prawdziwych osób.

Jeśli potrzebujesz PRAWDZIWYCH danych logowania, przejdź do Systemu w Windows Logs i filtruj według zdarzenia 7001 . To się udaje WINLOGONS . Odpowiada to loginom użytkownika i wyklucza logowanie się za kulisy systemu. Korzystając z tego, znalazłem właściwą listę logowań użytkowników rzeczywistych ludzi na PC.

Ale niestety nie mówi mi to, kto jest zalogowany. Nasza firma nie prowadzi tych rejestrów, ponieważ każdego dnia trwałaby mila. Patrzę na UserID w szczegółach, a UserID dla mnie zalogowany właśnie pasuje do każdego innego UserID pod każdym pokazanym logowaniem. I to nie jest mój komputer, więc niektóre loginy zdecydowanie nie są moje. Więc nie wiem o tej części.

Susan Cannon
źródło
0

Windows 7 Ultimate jest podłączony do domeny, ale loguje się lokalnie.

Właśnie przejrzałem dziennik zdarzeń bezpieczeństwa i zdałem sobie sprawę, że jedyny raz mogłem znaleźć „prawidłowe” loginy dla ID 4648 . To zadziałało dla mnie.

użytkownik3590052
źródło