Làm cách nào để biết ai đó đã đăng nhập vào tài khoản của tôi trong Windows 7?

13

Trong Windows 7, có cách nào để biết ai đó đã đăng nhập vào tài khoản của tôi khi tôi vắng mặt không?

Cụ thể, có thể biết một người có đặc quyền quản trị viên bằng cách nào đó đã nhập tài khoản của tôi không (tức là để vào email của tôi, v.v.)?

windows-7  security 
Erel Segal-Halevi
nguồn
2
Tại sao tôi cần phải đăng nhập? Tôi chỉ cần rút ổ cứng của bạn ra, cắm nó vào ổ của tôi và sao chép email / tệp / nội dung siêu bí mật của bạn mà không cần đăng nhập vào PC.
Cấp

Câu trả lời:

24

Phương pháp được đề xuất EDITED (Vui lòng Upvote Susan Cannon xuống bên dưới):

  1. Nhấn Windowsnút + Rvà gõeventvwr.msc .

  2. Trong trình xem sự kiện, Mở rộng Nhật ký Windows và chọn Hệ thống.

  3. Ở giữa, bạn sẽ thấy một danh sách với Ngày và Giờ, Nguồn, ID sự kiện và Danh mục nhiệm vụ. Danh mục nhiệm vụ giải thích khá nhiều về sự kiện, Đăng nhập, Đăng nhập đặc biệt, Đăng xuất và các chi tiết khác.

Các sự kiện sẽ được gọi là Winlogon , với ID sự kiện 7001 .

Chi tiết sự kiện sẽ chứa UserSid của tài khoản đăng nhập, bạn có thể khớp với danh sách thu được từ Dấu nhắc lệnh bằng cách sử dụng:

wmic useraccount

Hi vọng điêu nay co ich!

Để xem danh sách, hãy chạy "PowerShell" và dán đoạn mã sau vào cửa sổ của nó:

Get-EventLog system -Source Microsoft-Windows-Winlogon `
    | ? { $_.InstanceId -eq 7001 } `
    | ? {
            $sid = $_.ReplacementStrings[1]
            $objSID = New-Object System.Security.Principal.SecurityIdentifier ($sid)
            $objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
            $_ | Add-Member -Force -type NoteProperty -name User -value $objUser.Value
            return $true
        } `
    | ft -Property TimeGenerated,User

Bạn sẽ có một loạt các thông tin đăng nhập hệ thống; họ là bình thường.

Những gì bạn sẽ tìm kiếm: ID sự kiện 7001 - Winlogon.

Trong tab Chi tiết, hãy tìm UserSid

Một dấu hiệu đăng nhập sẽ giống như thế này: (win 8.1) Điều này có thể sẽ khác trong win 7

+ System
- EventData
   TSId        1
   User Sid    A-2-8-46-234435-6527-754372-3445

Sau đó mở dấu nhắc lệnh bằng cách nhấp chuột phải vào nút bắt đầu và chọn nó.

Nhập "tài khoản người dùng wmic" và khớp SID với tên người dùng trước trong danh sách dài xuất hiện.

C:\Users\Superuser>wmic useraccount
AccountType  Caption  Description Disabled  Domain  FullName InstallDate
LocalAccount  Lockout  Name PasswordChangeable  PasswordExpires 
PasswordRequired  SID   SIDType  Status
512  ComputerName\Administrator   Built-in account for administering the
computer/domain  TRUE  ComputerName TRUE   FALSE  Administrator   TRUE
FALSE  TRUE A-2-8-46-234435-6527-754372-3447   1  Degraded

512  ComputerName\Superuser TRUE  ComputerName TRUE   FALSE  Superuser   TRUE
FALSE  TRUE **A-2-8-46-234435-6527-754372-3445**   1  Degraded

Chúng tôi thấy từ danh sách Superuser là tài khoản phù hợp với SID.

Đường dẫn
nguồn
Cảm ơn! Tôi thực sự thấy 4 sự kiện cho mỗi lần đăng nhập thành công (một mình): "Đăng nhập - 4624", "Đăng nhập đặc biệt - 4672", "Đăng nhập - 4648", "Đăng nhập - 4624", tất cả cùng một lúc.
Erel Segal-Halevi
Lưu ý:  wmic useraccount get name,sidtạo ra một đầu ra dễ quản lý hơn nhiều.
Scott
5

Câu trả lời của Pathfinder về việc kiểm tra nhật ký sự kiện sẽ cho bạn biết nếu ai đó đăng nhập vào máy tính của bạn. Tuy nhiên, điều đó sẽ không cho bạn biết nếu họ đăng nhập vào một máy tính khác bằng tài khoản của bạn. Bạn sẽ phải kiểm tra máy đó hoặc Bộ điều khiển miền để xem thông tin đăng nhập từ các máy khác.

Đối với email, đó là một câu chuyện khác. Là quản trị viên Exchange, tôi có thể đọc email của bất kỳ ai trong tổ chức của chúng tôi. Thành thật mà nói, tôi không biết liệu quyền truy cập đó có được ghi lại ở bất cứ đâu không. Tôi chắc chắn là như vậy, nhưng nó chỉ dành cho quản trị viên Exchange.

Keltari
nguồn
@Pang: Cảm ơn bạn đã thêm liên kết và sửa lỗi chấm câu của các cơn co thắt, nhưng thư điện tử và thư điện tử, giống như không khí, nghĩa là, nước, và cát, và hàng trăm người khác, là tập thể hợp lệ (khối lượng / không- Danh từ đếm được. Việc Keltari sử dụng email cá nhân (tập thể) đơn lẻ là tốt, vì trong các quý ông không đọc thư của nhau. HãyThư của bạn .
Scott
@Scott Vâng tôi đoán bạn đúng . Hãy chỉnh sửa lại. Cảm ơn.
Pang
2

Nếu bạn đang ở trong một mạng công ty, điều này sẽ không hoạt động. Tổng công ty có tất cả các loại đăng nhập tự động. Tôi đã xem một trong hai sự kiện 4648 hoặc 4624 và đăng nhập thành công ngay cả khi mọi người không ở trong văn phòng (và không, không ai lén lút đăng nhập vào PC). Bọn họ có hàng ngàn người. Tôi mới đăng nhập vào PC một lần và có 10 nguồn hoạt động dưới 4624. Tôi đã không đăng nhập 10 lần. Có 12 lần đăng nhập ngày hôm qua dưới 4648, nhưng không ai chạm vào PC cả ngày hôm đó. Vì vậy, đó không phải là một danh sách chính xác đăng nhập người thật.

Nếu bạn muốn thông tin đăng nhập THỰC SỰ, hãy truy cập Hệ thống trong Nhật ký Windows và lọc vào sự kiện 7001 . Đây là CHIẾN THẮNG thành công . Điều này tương ứng với thông tin đăng nhập của người dùng và loại trừ thông tin đăng nhập hệ thống đằng sau hậu trường. Sử dụng điều này, tôi tìm thấy danh sách thích hợp của người dùng đăng nhập người thực trực tiếp vào PC.

Nhưng thật không may, nó vẫn không cho tôi biết WHO đã đăng nhập. Công ty chúng tôi không lưu giữ những hồ sơ đó vì nó sẽ dài một dặm mỗi ngày. Tôi xem chi tiết UserID và UserID cho tôi đăng nhập ngay bây giờ khớp với mọi UserID khác dưới mỗi lần đăng nhập được hiển thị. Và đây không phải là PC của tôi, vì vậy một số thông tin đăng nhập chắc chắn không phải là của tôi. Vì vậy, tôi không biết về phần đó.

Susan Cannon
nguồn
0

Windows 7 Ultimate được kết nối với một tên miền, nhưng đăng nhập cục bộ.

Tôi vừa xem qua nhật ký sự kiện Bảo mật và nhận ra rằng lần duy nhất tôi có thể tìm thấy các đăng nhập "hợp pháp" là cho ID 4648 . Điều này làm việc cho tôi.

người dùng3590052
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.