Як побачити, хто ввійшов у комп'ютер (і коли)

Ви коли-небудь хотіли відстежувати, хто входив у ваш комп'ютер і коли? У професійних виданнях Windows можна ввімкнути перевірку входу, щоб мати доріжку Windows, до якої входитимуть облікові записи користувачів і коли.

Налаштування подій входу в систему аудиту відстежує як локальні входи, так і входи до мережі. Кожна подія входу вказує обліковий запис користувача, який увійшов, і час входу. Ви також можете побачити, коли користувачі вийшли з системи.

Примітка: Аудит входу в систему працює тільки у виданні Professional, тому ви не можете використовувати його, якщо у вас є видання Home. Це має працювати на Windows 7, 8 і Windows 10. Ми будемо охоплювати Windows 10 у цій статті. Екран може виглядати дещо іншим у інших версіях, але цей процес практично не відрізняється.

Увімкнути аудит входу в систему

Щоб увімкнути ревізію входу в систему, ви використовуєте редактор локальної групової політики. Це досить потужний інструмент, тому, якщо ви ніколи раніше не використовували його, варто зайняти деякий час, щоб дізнатися, що він може зробити. Крім того, якщо ви перебуваєте в мережі компанії, зробіть всім користь і перевірте з адміністратором. Якщо ваш робочий комп'ютер є частиною домену, ймовірно, що він є частиною політики групового домену, яка взагалі замінить політику локальних груп.

Щоб відкрити редактор локальної групової політики, натисніть кнопку Пуск, введіть “gpedit.msc,“ а потім виберіть результуючий запис.

У редакторі локальної групової політики на лівій панелі перейдіть до Політика місцевого комп'ютера> Конфігурація комп'ютера> Налаштування Windows> Налаштування безпеки> Локальні політики> Політика аудиту. На правій панелі двічі клацніть параметр "Аудит подій входу в систему".

У вікні властивостей, що відкриється, увімкніть параметр «Успіх», щоб спроби входу в журнал успішного входу в Windows. Увімкніть параметр "Failure" (Невдала), якщо ви також хочете, щоб Windows зареєстрував невдалі спроби входу в систему. Після завершення натисніть кнопку "OK".

Тепер ви можете закрити вікно "Редактор локальної групової політики".

Переглянути події входу в систему

Після ввімкнення перевірки входу в систему Windows записує ці події входу, а також ім'я користувача та часову мітку до журналу безпеки. Ці події можна переглянути за допомогою засобу перегляду подій.

Натисніть кнопку Пуск, введіть “event”, а потім виберіть результат “Перегляд подій”.

У вікні "Перегляд подій" на лівій панелі перейдіть до журналу Windows> Безпека.

У середній панелі, швидше за все, ви побачите кілька подій "Аудит успіху". Windows реєструє окремі деталі для подібних речей, коли обліковий запис, з яким хтось підписується, успішно надає свої привілеї. Ви шукаєте події з ідентифікатором події 4624 - вони представляють успішні події входу. Докладні відомості про вибрану подію можна побачити в нижній частині цього середнього вікна, але ви також можете двічі клацнути подію, переглядаючи її дані в їхньому вікні..

І якщо ви прокручуватимете трохи деталі, ви можете побачити інформацію, яку ви нагадуєте, як ім'я облікового запису користувача.

І оскільки це лише інша подія в журналі подій Windows з певним ідентифікатором події, ви також можете використовувати планувальник завдань, щоб вжити заходів, коли відбувається вхід. Ви навіть можете надіслати вам електронну пошту Windows, коли хтось увійде в систему.