Lesere som deg er med på å støtte MUO. Når du foretar et kjøp ved å bruke lenker på nettstedet vårt, kan vi tjene en tilknyttet provisjon. Les mer.

Windows lar deg opprette flere brukerkontoer for å la flere brukere bruke en enkelt datamaskin. Men hva om du mistenker at noen har fått tilgang til PC-en eller brukerkontoen din uten at du vet det?

Selv om fysisk overvåking av datamaskinen hele tiden ikke er mulig for de fleste, er den innebygde Windows loggverktøy, Event Viewer, kan avsløre de siste aktivitetene på datamaskinen din, inkludert pålogging forsøk. Her viser vi deg hvordan du reviderer mislykkede og vellykkede påloggingsforsøk i Windows ved hjelp av Event Viewer og andre metoder.

Slik aktiverer du påloggingsrevisjon via Group Policy Editor

Du må aktivere påloggingsrevisjon i Group Policy Editor for å kunne se påloggingsrevisjon i Event Viewer. Selv om denne funksjonen kan være aktivert som standard på enkelte datamaskiner, kan du også aktivere påloggingsrevisjon manuelt ved å følge disse trinnene.

instagram viewer

Merk at Group Policy Editor kun er tilgjengelig på Pro, Edu og Enterprise-utgaven av Windows OS. Hvis du er på Home-utgaven, følg vår guide til aktiver gpedit i Windows Home-utgaven.

Merk at hvis du ikke konfigurerer gruppepolicyen for påloggingsrevisjon, kan du bare se de vellykkede påloggingsforsøkene i Event Viewer.

Når du har aktivert Group Policy Editor, følger du disse trinnene for å aktivere påloggingsrevisjon:

  1. trykk Win + R å åpne Løpe.
  2. Type gpedit.msc og klikk OK å åpne Redaktør for gruppepolicy.
  3. Deretter navigerer du til følgende plassering:Datamaskinkonfigurasjon > Windows-innstillinger > Sikkerhetsinnstillinger > Lokale retningslinjer > Revisjonspolicy
  4. Høyreklikk på i høyre rute Revisjon påloggingshendelser og velg Egenskaper.
  5. I Egenskaper dialog, velg Suksess og Feil alternativer under Kontroller disse forsøkene seksjon.
  6. Klikk Søke om og OK for å lagre endringene.

Lukk Group Policy Editor og gå til neste sett med trinn for å se påloggingsforsøk i Event Viewer.

Slik viser du mislykkede og vellykkede påloggingsforsøk i Event Viewer

De Event Viewer lar deg se Windows-logger for programmet, sikkerheten, systemet og andre hendelser. Selv om det er et nyttig program for å feilsøke systemproblemer, kan du bruke det til å overvåke påloggingshendelser på din Windows-PC.

Følg disse trinnene for å se mislykkede og vellykkede påloggingsforsøk i Windows:

  1. trykk Vinn nøkkel og type hendelsesvisning. Alternativt, klikk på Søk i oppgavelinjen og skriv hendelsesvisning.
  2. Klikk på Event Viewer fra søkeresultatet for å åpne det.
  3. I venstre rute utvider du Windows-logger seksjon.
  4. Velg deretter Sikkerhet.
  5. I den høyre ruten finner du Arrangement 4624 inngang. Det er en hendelses-ID for brukerpålogging, og du kan finne flere forekomster av denne IDen i hendelsesloggen.
  6. For å finne mislykkede påloggingsforsøk, finn Hendelses-ID 2625 oppføringer i stedet.
  7. Deretter velger du Arrangement 4624 oppføringen du vil se, og Event Viewer vil vise all relatert informasjon i den nederste delen. Alternativt kan du høyreklikke på arrangementsoppføringen og velge Egenskaper for å se detaljert informasjon i et nytt vindu.

Hvordan tyde påloggingsoppføringene i Event Viewer

Selv om hendelses-ID 4624 er knyttet til påloggingshendelser, vil du sannsynligvis finne flere forekomster av denne oppføringen med noen få minutters mellomrom i loggen. Dette skyldes at Event Viewer registrerer hver påloggingshendelse (enten fra den lokale brukerkontoen eller systemtjenester som Windows Security) med samme hendelses-ID (Event 4624).

For å identifisere kilden til pålogging, høyreklikk på hendelsesposten og velg Egenskaper. I Generell fanen, rull ned og finn Påloggingsinformasjon seksjon. Her, den Påloggingstype feltet angir hva slags pålogging som skjedde.

For eksempel, Påloggingstype 5 indikerer en tjenestebasert pålogging, mens Påloggingstype 2 indikerer brukerbasert pålogging. Finn ut mer om de forskjellige påloggingstypene i tabellen nedenfor.

Deretter ruller du ned til Ny pålogging seksjonen og finn Sikkerhets-ID. Dette vil vise brukerkontoen som ble berørt av påloggingen.

På samme måte, for mislykkede påloggingsforsøk, gjennomgå Hendelses-ID 4625. I Egenskaper dialogboks, kan du finne årsaker til det mislykkede påloggingsforsøket og den berørte brukerkontoen. Hvis du finner flere tilfeller av mislykkede forsøk, bør du vurdere å lære hvordan du begrenser antall mislykkede påloggingsforsøk for å beskytte din Windows-PC.

Nedenfor er listen over alle ni Påloggingstyper for påloggingshendelser som du kan støte på ved gjennomgang av påloggingshendelser i Event Viewer:

Påloggingstype Beskrivelse
Påloggingstype 2 En lokal bruker logget på denne datamaskinen.
Påloggingstype 3 En bruker logget på denne datamaskinen fra nettverket.
Påloggingstype 4 Batch-påloggingstype uten brukerintervensjon – Planlagte oppgaver osv.
Påloggingstype 5 Pålogging av systemtjeneste startet av Service Control Manager – Mest vanlig type
Påloggingstype 7 System låst opp av en lokal kontobruker
Påloggingstype 8 NetworkClearText - Pålogging forsøkt over nettverket der passordet ble sendt som klartekst.
Påloggingstype 9 NewCredentials – utløses når en bruker bruker RunAs-kommandoen med alternativet /netonly for å starte et program.
Påloggingstype 10 RemoteInteractive – Genereres når en datamaskin får tilgang via et eksternt tilgangsverktøy som Remote Desktop Connection.
Påloggingstype 11 CachedInteractive – Når brukeren logget på datamaskinen via konsollen ved å bruke den bufrede legitimasjonen når domenekontrolleren ikke er tilgjengelig.

Slik viser du siste påloggingshistorikk ved hjelp av ledetekst

Du kan bruke ledeteksten for å se siste påloggingsforsøk. Det er en hendig måte å finne brukerbaserte påloggingsforsøk uten å måtte gå gjennom alle påloggingshendelsene i Event Viewer.

For å se påloggingsloggen til en bestemt bruker ved å bruke ledetekst:

  1. trykk Win + R å åpne Løpe.
  2. Type cmd. Mens du holder Ctrl + Shift-tasten, klikk OK. Dette vil åpne Ledeteksten som administrator.
  3. I kommandoprompt-vinduet skriver du inn følgende kommando og trykker Enter:nettbrukeradministrator | findstr /B /C:"Siste pålogging"
  4. I kommandoen ovenfor, erstatt "administrator" med brukernavnet for å se påloggingsloggen deres.
  5. Utdataene vil vise siste påloggingstidspunkt og dato for den angitte brukeren.

Vise mislykkede og vellykkede påloggingsforsøk i Windows

Hvis du mistenker at noen har logget på PC-en din, vil Event Viewer sannsynligvis fange opp og registrere forsøket. For at dette skal fungere, må du aktivere påloggingsrevisjonspolicyen i Group Policy Editor. Du kan også bruke ledeteksten til å vise en spesifikk brukers påloggingshistorikk.

Når det er sagt, kan alle som kjenner seg rundt i Event Viewer enkelt tømme loggene. Så, om noe, er å styrke Windows-datasikkerheten din den beste måten å forhindre uautorisert tilgang. Du kan begynne med å begrense antall mislykkede påloggingsforsøk på din Windows-PC.