Как узнать кто заходил в компьютер и кто пытался зайти в Windows 10, 8, 7, Vista, XP
Как узнать кто включал компьютер?
Хороший вопрос. Узнать кто заходил или пытался зайти в компьютер можно разными способами. С помощью кейлоггеров и других специальных шпионских программ. Это конечно хороший способ, так как дает еще больше информации о действиях злоумышленника на вашем компьютере. Но тем кому не нужен функционал клавиатурного шпиона может узнать о попытках входа в Windows с помощью самой операционной системы.
Это может вас маленько удивит, но несмотря на то, что наш сайт посвящен софту, я большой противник установки кучи не всегда нужных программ на свой компьютер и поэтому всегда пытаюсь решить проблему путем самой операционной системы. Поэтому сегодня я расскажу, как узнать кто пользовался компьютером во время вашего отсутствия и сделать это без использования дополнительных программ.
Кстати, в статье «Невидимая папка Windows» мы рассказывали о создании прозрачных, невидимых папок на рабочем столе, которые в некоторых ситуациях могут быть очень полезны.
Как узнать кто заходил в компьютер?
Первый способ позволяет логировать (сохранять в отчет) все успешные, а также неудачные попытки входа в систему. Отчет может сохранить данные недельной и месячной давности, в зависимости от ваших настроек. Лог о попытках входа в систему можно просмотреть в любое время.
Второй способ оповещает вас о том, когда и кто заходил в компьютер в последний раз каждый раз когда вы будете логиниться в систему. Другими словами каждый раз при входе в Windows операционная система будет отображать последние попытки входа в систему, точное время и другую информацию. Я покажу два разных способа позволяющих активировать данную функцию.
Решили как будете защищать компьютер? Тогда пойдем дальше и начнем с первого способа.
Кто заходил в компьютер с помощью журнала событий
Для того чтобы журнал событий Windows сохранял информацию о том кто пользовался компьютером надо эту функцию включить.
Первым делом откроем редактор групповой политики. Комбинацией клавиш WIN+R.
В окне «Выполнить» введем команду gpedit.msc и нажмем ОК.
Имейте ввиду. Не все версии Windows имеют редактор групповой политики. Если в вашей операционной системе отсутствует данный инструмент, попробуйте второй способ или обновите операционную систему до версии Professional.
Итак, после того как открылось окно редактора перейдите в ветку — «Политика Локальный компьютер» —> «Конфигурация компьютера» —> «Конфигурация Windows» —> «Параметры безопасности» —> «Локальные политики» —> «Политика аудита».
В этой папке находим пункт «Аудит входа в систему».
Двойным кликом мышки заходим в свойства и отмечаем галочкой параметры «Успех» и «Отказ».
После включения функции аудита входов в операционную систему, Windows будет сохранять все события попыток входа. Будут записываться такие данные как имя пользователя и время.
Чтобы просмотреть отчет нужно запустить журнал событий Windows. Делается это с помощью «WIN+R» и команды «eventvwr».
В появившемся окне заходим в журналы Windows, пункт Безопасность.
Здесь вы увидите огромный список различных событий. Для того чтобы найти необходимые нам данные можно воспользоваться фильтром в меню действий справа.
Кто заходил в компьютер при загрузке системы
Ну, а теперь я покажу как выводить на экран информацию во время каждой загрузки системы о том, кто последний раз пользовался компьютером.
Для вашего удобства я создал два файла которые добавляют необходимые ключи в реестр. Один ключ включает опцию показа информации о последнем входе, а другой отключает данную функцию. Если вам лень самому все делать или вы не разбираетесь, тогда смело качайте архив. Первый архив с традиционным бонусом, а второй без. Разница только в размере.
Запускать файлы надо от Администратора!
А теперь для любителей погорячее, которые решили делать все ручками не скачивая эти файлы со страшными вирусами, которые еще и надо запускать от имени администратора )).
Запустим редактор реестра. На Windows 7 и 8 делается это с помощью пункта «Выполнить», которое находится в меню «Пуск». После того как появилось окно «Выполнить» вводим команду «regedit».
Regedit на Windows 7, 8, 8.1
На Windows 10 тоже можно через пункт «Выполнить» или с помощью поиска, так как это показано на скрине ниже.
Regedit на Windows 10
Теперь в редакторе реестра находим каталог «System».
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
В котором создаем новый параметр.
Даем ему имя «DisplayLastLogonInfo»
И изменяем его значение с 0 на 1.
Если вы все сделали правильно, то получите вот такой вот результат.
После этапа авторизации появится окно в котором будет подробная информация о последнем успешном входе в систему, дате и точном времени. А также данные о всех неудачных попытках входа в Windows. После ознакомления нажимаем ОК и продолжаем процесс загрузи системы.
Хотелось бы уточнить, что даже если компьютер является членом домена Active Directory и на него заходят под доменными учетными записями, при локальном включении политики отображаться будет только информация о локальных учетных записях. Для отображения информации о доменных пользователях необходимо воспользоваться доменными групповыми политиками.
На этом все, друзья. Теперь вы без проблем сможете узнать когда и кем был осуществлен последний вход в систему. Вещь очень полезная, если вы не единственный пользователь компьютера или в случаях когда вы оставляете его на какое-то время без присмотра.
Вас также может заинтересовать статья «Блокировка Windows», в которой мы рассказывали как быстро, буквально в один клик заблокировать систему, в случае если вам нужно на время отойти от компьютера.
Информации о последнем входе в Windows на экране приветствия
В Windows есть полезная функция, позволяющая отобразить информацию о последней интерактивной попытке входа в систему прямо на экране приветствия Windows. Выглядит это следующим образом: каждый раз, когда пользователь набирает свой пароль для входа в систему, перед ним появляется информация с датой и временем последней удачной и неудачной попытке входа в систему (а также общее количество неудачных попыток входа). Если при попытке регистрации на компьютере будет введен неверный пароль (например, в случае попытки несанкционированного доступа), то при следующей загрузке системы пользователь увидеть уведомление о неудавшейся попытке войти на его компьютер.
В этой статье разберемся, как включить отображение информации о последнем интерактивном входе в систему на экране приветствия. Данный функционал будет работать на всех ОС Windows, начиная с Windows Vista, а для работы на доменном уровне требует функционального уровня домена не менее Windows Server 2008. Именно в этой версии в схеме Active Directory появился ряд новых атрибутов пользователя, которые содержат информацию о попытках интерактивного входа в систему.
- msDS—FailedInteractiveLogonCount – количество неудачных попыток входа в систему с момента включения политики сбора информации
- msDS—FailedInteractiveLogonCountAtLastSuccessfulLogon – количество неудачных попыток интерактивного входа с момент последней успешной попытки авторизации
- msDS-LastFailedInteractiveLogonTime – время последней неудачной попытки входа
- msDS—LastSuccessfulInteractiveLogonTime – время последней удачной попытки входа на рабочую станцию
Указанные выше атрибуты, в отличии от уже знакомым нам атрибутов lastLogon, lastLogontimeStamp, badPasswordTime и badPwdCount (появившихся еще в Windows 2000), реплицируются между всеми контроллерами домена.
Примечание. Атрибут lastLogontimeStamp на самом деле тоже реплицируются между DC, но проводится это операция нечасто – раз 9-14 дней. И служит атрибут не столько для интерактивного мониторинга попыток входа, сколько для отслеживания времени неактивности учетной записи.
Включить отображение на экране приветствия информации о предыдущих попытках входа в систему можно через групповую политику. Для этого откройте консоль управления локальной групповой политикой: gpedit.msc (если нужно включить данный функционал на компьютере для локальной учетной записи) или консоль gpmc.msc (для создания/модификации доменной политики) и перейдите в раздел: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows Logon Options . Нас интересует политика Display information about previous logons during user logon.
Чтобы активировать политику, поменяем ее значение на Enabled и сохраним изменения.
Политика будет работать на всех компьютерам с ОС, выше Windows Vista. Машины с Windows XP и Windows Server 2003 эту групповую политику игнорируют.
Осталось применить политику к целевому компьютеру:
- В случае использования локальной политики достаточно выполнить команду gpupdate /force и перезайти в систему (политика будет работать только для локальных учетных записей).
- Если же используется доменная GPO, эту политику придется применить сначала ко всем контроллерам домена. И лишь, дождавшись окончания ее репликации и выполнения на всех DC, назначить политику на нужный контейнер Active Directory. Важно. Политику Display information about previous logons during user logon нужно применить к контроллерам домена для чтобы на них стала собираться данная информация (будут заполнятся рассмотренные выше атрибуты). Если этого не сделать, войти на ПК, на который действует эта политика не удастся!
Совет. Продиагностировать применение политик можно с помощью утилиты gpresult.
При следующем входе в систему после ввода пароля учетной записи появится сообщение с текстом:
Successful sign-in. The last time you interactively signed in to this account was: …
В русской версии Windows текст будет таким:
Успешный вход в систему. Последний интерактивный вход в систему был выполнен: «дата и время»
Неудачный вход в систему. Со времени последнего интерактивного входа в систему не предпринималось попыток входа в систему
Чтобы продолжить загрузку системы пользователю нужно нажать OK (или Enter).
На локальных ПК, но которых отсутствует редактор групповых политик, включить эту функцию можно через редактор реестра, для чего:
- Запустите regedit.exe
- Перейдите в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- Отредактируйте (а если он отсутствует – создайте) параметр типа DWORD с именем DisplayLastLogonInfo
- Чтобы включить отображение информации о последнем входе, укажите значение 1. Если эту функцию нужно отключить – 0.
Функционал отслеживания последнего интерактивного входа удобно использовать, когда нужно обнаружить попытку атаки на каталог AD путем подбора пароля, а также в целях выполнения нормативных требований и обеспечения аудита, отслеживая источник и время попытки доступа к учетной записи пользователя.
Порой возникает необходимость узнать, когда включали компьютер в мое отсутствие. Любое действие, произведенное в операционной системе на ПК или ноутбуке, оставляет свои как бы «невидимые следы». Исключение может быть в том случае, если работал профессиональный хакер с большим опытом. Как правило, проверка, вернее ее необходимость наступает у внимательных родителей, которые не разрешают детям самостоятельно включать устройство, когда их нет дома. Также это случается на рабочем месте при возникновении подозрения, что кто-то просматривал электронные документы без самого пользователя. Провести мероприятие по выяснению, действительно ли включался ПК без ведома хозяина можно и нужно. Для этого в системе есть внутренние ресурсы и сторонние ПО.
Как узнать когда включали компьютер в мое отсутствие
Все совершаемые действия в системе после включения компьютера запоминаются в журнале событий и обязательно регистрируются с отметкой в «log событий». В этой графе есть точное время, дата всех произведенных действий, произведенных кем-либо.
Для тщательного изучения журнальных записей можно воспользоваться предлагаемым алгоритмом, включающим следующие действия:
- открыть меню «Управление компьютером» нажатием «Win+X»;
- затем открытием окна с главными функциями, увидите надпись о просмотре всех событий;
- нажатием стрелки слева, посредством которой открывается подменю, можно развернуть «Журнал Windows»;
- затем кликнуть при помощи кнопки (правой) на слово «система», затем выбрать «Фильтр текущего журнала»;
- Открыв источники событий, поставить галочку, чтобы можно было просмотреть в алфавитном порядке сведения о включении вашего ПК.
Вы сами знаете, когда Вас не было точно у монитора, значит, все включения за этот промежуток времени производили не Вы.
Способ немножко посложнее (посредством «log файла»).
Для ознакомления со всеми событиями операционной системы можно воспользоваться более сложным методом. После открытия папки «Windows», следует найти «WindowsUpdate.log» и открыть его (приложение Блокнот). Затем с помощью поисковика браузера будет легче понять и изучить содержимое полученного содержимого в данном отчете. Для прочтения действия, выполняемого на машине, нужно ввести требуемое событие. Следует знать, что запись в отчетных данных производится с использованием английских букв и цифровых кодов. Здесь скорее всего понадобится переводчик (онлайн), либо знание языка самим пользователем.
О программе TurnedOnTimesView
По данной программе (утилите) анализируются события, зафиксированные в системном журнале. Скачав ее, есть возможность быстро и удобно просмотреть время работы ОС.
Об «Аудите»
Для некоторых версий «Windows» предусмотрен «Аудит», это сервис, фиксирующий включение (запуск) компьютера. Произведение мониторинга производится для разных видов входов (локальные и сетевые), с сохранением временного промежутка, когда были сделаны учетные записи. После активации данного сервиса в Windows будут фиксироваться все действия и события. Для этого предусмотрен специальный журнал «Безопасность», в котором будет все отражено предельно ясно.
Более простым способом является установка надежного личного пароля для входа в систему Вашего ПК, его, естественно, нужно тоже периодически обновлять. Только при соблюдении всех этих правил и выполнении вышеописанных мероприятий можно будет точно знать все о работе своего компьютера. Тем самым предотвратить «изыскательские работы» и даже попытки их совершать нежелательным гостям, или непослушным детям.
