Come faccio a sapere se qualcuno ha effettuato l'accesso al mio account in Windows 7?

13

In Windows 7, c'è un modo per sapere se qualcuno ha effettuato l'accesso al mio account quando ero assente?

In particolare, è possibile sapere se una persona con privilegi di amministratore ha in qualche modo inserito il mio account (cioè per accedere alla mia e-mail, ecc.)?

windows-7 security

— Erel Segal-Halevi
fonte

2

Perché dovrei accedere? Estrarrei semplicemente il tuo disco rigido, lo collegherei al mio e copii i tuoi messaggi e-mail / file / cose super segrete senza mai accedere al tuo PC.

— Concedi il

24

Metodo consigliato EDITED (per favore, vota Susan Cannon in basso):

Premere il Windowspulsante + Re digitare eventvwr.msc.
Nel Visualizzatore eventi, espandere Registri di Windows e selezionare Sistema.
Nel mezzo vedrai un elenco con Data e ora, Origine, ID evento e Categoria attività. La categoria di attività spiega praticamente l'evento, l'accesso, l'accesso speciale, la disconnessione e altri dettagli.

Gli eventi si chiameranno Winlogon , con ID evento 7001 .

I dettagli dell'evento conterranno il UserSid di accesso all'account , che è possibile abbinare a un elenco ottenuto dal prompt dei comandi utilizzando:

wmic useraccount

Spero che sia di aiuto!

Per visualizzare un elenco, eseguire "PowerShell" e incollare il seguente script nella sua finestra:

Get-EventLog system -Source Microsoft-Windows-Winlogon `
    | ? { $_.InstanceId -eq 7001 } `
    | ? {
            $sid = $_.ReplacementStrings[1]
            $objSID = New-Object System.Security.Principal.SecurityIdentifier ($sid)
            $objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
            $_ | Add-Member -Force -type NoteProperty -name User -value $objUser.Value
            return $true
        } `
    | ft -Property TimeGenerated,User

Avrai un sacco di accessi al sistema; sono normali.

Cosa stai cercando: ID evento 7001 - Winlogon.

Nella scheda Dettagli, cerca UserSid

L'indicazione di un login sarà simile al seguente: (vittoria 8.1) Probabilmente sarà diverso nella vittoria 7

+ System
- EventData
   TSId        1
   User Sid    A-2-8-46-234435-6527-754372-3445

Quindi aprire il prompt dei comandi facendo clic con il pulsante destro del mouse sul pulsante Start e selezionandolo.

Digita "account utente wmic" e abbina il SID con il nome utente precedente nell'elenco lungo che viene visualizzato.

C:\Users\Superuser>wmic useraccount
AccountType  Caption  Description Disabled  Domain  FullName InstallDate
LocalAccount  Lockout  Name PasswordChangeable  PasswordExpires 
PasswordRequired  SID   SIDType  Status
512  ComputerName\Administrator   Built-in account for administering the
computer/domain  TRUE  ComputerName TRUE   FALSE  Administrator   TRUE
FALSE  TRUE A-2-8-46-234435-6527-754372-3447   1  Degraded

512  ComputerName\Superuser TRUE  ComputerName TRUE   FALSE  Superuser   TRUE
FALSE  TRUE **A-2-8-46-234435-6527-754372-3445**   1  Degraded

Dall'elenco vediamo che Superuser è l'account corrispondente al SID.

— esploratore
fonte

Grazie! Vedo effettivamente 4 eventi per ogni accesso riuscito (da solo): "Accesso - 4624", "Accesso speciale - 4672", "Accesso - 4648", "Accesso - 4624", tutti allo stesso tempo.

— Erel Segal-Halevi

Nota: wmic useraccount get name,sidproduce un output molto più gestibile.

— Scott,

5

La risposta di Pathfinder di controllare il registro eventi ti farà sapere se qualcuno ha effettuato l'accesso al tuo computer. Tuttavia, ciò non ti dirà se hanno effettuato l'accesso a un altro computer con il tuo account. Dovresti controllare quella macchina o un controller di dominio per vedere gli accessi da altre macchine.

Per quanto riguarda le e-mail, questa è un'altra storia. Come amministratore di Exchange, posso leggere le e-mail di chiunque nella nostra organizzazione. Onestamente, non so se l'accesso sia registrato da nessuna parte. Sono sicuro che lo sarebbe, ma sarebbe disponibile solo per gli amministratori di Exchange.

— Keltari
fonte

@Pang: grazie per aver aggiunto il link e risolto la punteggiatura delle contrazioni, ma "mail" ed "email", come "air", "water", "sand" e centinaia di altre, sono valide collettive (mass / non- contare sostantivi. L'uso da parte di Keltari della "email" singolare (collettiva) andava bene, come in "I signori non leggono la posta dell'altro". E You Got Got Mail .

— Scott,

@Scott Sì, credo che tu abbia ragione . Sentiti libero di modificarlo indietro. Grazie.

— Pang

2

Se sei su una rete aziendale, questo non funzionerà. Le aziende hanno tutti i tipi di accessi automatici. Ho esaminato l'evento 4648 o 4624 e gli accessi sono stati registrati correttamente anche quando le persone non sono in ufficio (e no, nessuno si intrufola per accedere ai PC). Ce ne sono migliaia. Ho appena effettuato l'accesso al PC una volta e ci sono 10 fonti di attività in 4624. Non ho effettuato l'accesso 10 volte. Ieri c'erano 12 accessi sotto il 4648, ma nessuno ha toccato il PC per tutto quel giorno. Quindi questo non è un elenco accurato di accessi di persone reali.

Se vuoi le informazioni di accesso REALI, vai su Sistema in Registri di Windows e filtra l'evento 7001 . WINLOGONS ha successo . Ciò corrisponde agli accessi degli utenti ed esclude gli accessi al sistema dietro le quinte. Usando questo, ho trovato il giusto elenco di accessi utente di persone reali sul PC.

Ma sfortunatamente non mi dice ancora chi ha effettuato l'accesso. La nostra azienda non tiene questi registri perché sarebbe lunga un miglio ogni giorno. Guardo UserID nei dettagli e l'ID utente per me che accede in questo momento corrisponde a tutti gli altri ID utente sotto ogni accesso mostrato. E questo non è il mio PC, quindi alcuni degli accessi non sono sicuramente miei. Quindi non so di quella parte.

— Susan Cannon
fonte

0

Windows 7 Ultimate è connesso a un dominio, ma accede localmente.

Ho appena esaminato il registro degli eventi di sicurezza e mi sono reso conto che l'unica volta in cui riuscivo a trovare accessi "legittimi" era per ID 4648 . Questo ha funzionato per me.

— user3590052
fonte