Аудит события входа
Определяет, следует ли выполнять аудит каждого экземпляра пользователя, включающего вход в систему или выход с устройства.
События входа в учетную запись создаются на контроллерах домена для действий с учетной записью домена и на локальных устройствах для действий с локальной учетной записью. Если включены категории политики входа в учетную запись и аудита входа, входы, использующие учетную запись домена, создают событие входа или выхода на рабочей станции или сервере, а также событие входа в учетную запись на контроллере домена. Кроме того, интерактивные входы на рядовый сервер или рабочую станцию, использующие учетную запись домена, создают событие входа на контроллере домена, так как скрипты и политики входа извлекаются при входе пользователя. Дополнительные сведения о событиях входа в учетную запись см. в статье Аудит событий входа в учетную запись.
Определяя этот параметр политики, можно задать аудит успехов, аудит неудач либо отключить аудит всех типов событий. Успешные аудиты создают запись аудита при успешном входе. Аудит сбоев создает запись аудита при сбое попытки входа.
Чтобы установить для этого значения значение Нет аудита, в диалоговом окне Свойства этого параметра политики установите флажок Определить эти параметры политики и снимите флажки Успешно и Неудачно .
Сведения о дополнительных параметрах политики безопасности для событий входа см. в разделе Вход и выход из системы в разделе Параметры политики расширенного аудита безопасности.
Настройка параметра аудита
Этот параметр безопасности можно настроить, открыв соответствующую политику в разделе Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита.
| События входа | Описание |
|---|---|
| 4624 | Пользователь успешно вошел на компьютер. Сведения о типе входа см. в таблице Типы входа ниже. |
| 4625 | Сбой входа. Была предпринята попытка входа с неизвестным именем пользователя или известным именем пользователя с неправильным паролем. |
| 4634 | Процесс выхода был завершен для пользователя. |
| 4647 | Пользователь инициировал процесс выхода из системы. |
| 4648 | Пользователь успешно вошел на компьютер, используя явные учетные данные, в то время как уже вошел в систему от имени другого пользователя. |
| 4779 | Пользователь отключил сеанс сервера терминалов без выхода из системы. |
При регистрации события 4624 (устаревшее событие Windows с идентификатором 528) тип входа также указывается в журнале событий. В следующей таблице описаны все типы входа.
| Тип входа | Заголовок входа | Описание |
|---|---|---|
| 2 | Interactive (Интерактивные) | Пользователь успешно вошел в систему на данном компьютере. |
| 3 | Network | Пользователь или компьютер вошли в систему на данном компьютере через сеть. |
| 4 | Batch | Пакетный тип входа используется пакетными серверами, исполнение процессов на которых производится по поручению пользователя, но без его прямого вмешательства. |
| 5 | Обслуживание | Служба была запущена диспетчером служб. |
| 7 | Unlock | Эта рабочая станция была разблокирована. |
| 8 | NetworkClearText | Пользователь вошел в систему на данном компьютере через сеть. Пароль пользователя передан в пакет проверки подлинности в нехешированной форме. Встроенная проверка подлинности упаковывает все хешированные учетные записи перед их отправкой через сеть. Учетные данные не передаются через сеть открытым текстом. |
| 9 | NewCredentials | Инициатор вызова клонировал свой текущий маркер и указал новые учетные данные для исходящих соединений. Новый сеанс входа в систему имеет то же самое локальное удостоверение, но использует другие учетные данные для других сетевых соединений. |
| 10 | RemoteInteractive | Пользователь выполнил вход в систему на этом компьютере через службы терминалов или удаленного рабочего стола. |
| 11 | CachedInteractive | Пользователь выполнил вход в систему на этом компьютере с сетевыми учетными данными, которые хранились локально на компьютере. Контроллер домена не использовался для проверки учетных данных. |
Статьи по теме
Обратная связь
Отправить и просмотреть отзыв по
Как в Windows проверить, кто использовал компьютер и когда
Вы когда-нибудь хотели контролировать, кто входит в ваш компьютер и когда? В профессиональных выпусках Windows вы можете включить аудит входа в систему, чтобы запись всех входов в Windows.
Аудит входов в систему отслеживает как локальных пользователей, так и сетевые учетные записи. Каждое событие входа указывает учетную запись пользователя, с помощью которой происходила авторизация. Вы также можете увидеть, когда пользователи вышли из системы.
Примечание. Аудит входа в систему работает только в профессиональной версии Windows, поэтому вы не можете использовать это, если у вас домашняя версия. Это должно работать на Windows 7, 8 и Windows 10. Мы рассмотрим Windows 10 в этой статье. В других версиях экраны могут выглядеть немного иначе, но этот процесс почти такой же.
Как включить аудит входа в систему
Чтобы включить аудит входа в систему, мы будем использовать редактор локальных групповых политик. Это довольно мощный инструмент, поэтому, если вы никогда не использовали его раньше, стоит потратить некоторое время на его изучение. Кроме того, если ваш компьютер подключен к сети компаний, сначала Вам придётся обратиться за разрешением к администратору. Если ваш рабочий компьютер является частью домена, также вероятно, что это часть политики группы доменов, которая в любом случае заменит политику локальной группы.
Чтобы открыть редактор локальной групповой политики, нажмите Win + R , введите gpedit.msc и нажмите Enter .
В редакторе локальных групповых политик в левой панели перейдите к политике Локального компьютера → Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Политика аудита. В правой панели дважды щелкните параметр «Аудит входа в систему».
В открывшемся окне свойств включите параметр «Успех» для успешной попытки входа в систему Windows. Включите параметр «Сбой», если вы также хотите, чтобы Windows регистрировала неудачные попытки входа в систему. Нажмите кнопку ОК , когда закончите.
Теперь вы можете закрыть окно редактора локальной групповой политики.
Просмотр событий входа в систему
После включения аудита входа Windows записывает события входа в систему вместе с именем пользователя и меткой времени в журнале безопасности. Вы можете просмотреть эти события, используя Event Viewer .
Нажмите значок поиска рядом с меню «Пуск», введите «Просмотр событий» и нажмите соответствующий результат в окне поиска.
В окне «Просмотр событий» в левой панели перейдите в раздел «Журналы Windows» → «Безопасность».
В центральной панели вы, вероятно, увидите ряд событий «Аудит успеха». Windows регистрирует отдельные сведения о таких вещах, как предоставление своих привилегий проверенным аккаунтом. Вам нужной найти события с идентификатором 4624 – они представляют собой успешные события входа в систему. Вы можете увидеть подробности о выбранном событии в нижней части этой средней панели, а также можете дважды щелкнуть событие, увидев его данные в отдельном окне.
Если Вы перейдёте к деталям, то сможете увидеть такую информацию, как имя учетной записи пользователя.
Поскольку это ещё одно событие в журнале событий Windows с определенным идентификатором события, вы также можете использовать планировщик заданий для принятия действий при входе в систему. Вы даже можете отправить сообщение на электронную почту, когда кто-то войдет в систему Windows.
Как можно узнать историю действий на компьютере
Немногие знают, что разработчики ОС Windows внедрили в программный код своего продукта специальную функцию, позволяющую отслеживать любые изменения состояния системы. Таким образом, даже без установки стороннего ПО, любой пользователь в подробностях может узнать обо всех процессах, запущенных на его компьютере.
Подобное бывает полезно в самых разнообразных случаях, начиная от необходимости восстановить последовательность рабочей процедуры и заканчивая подозрениями о незаконном использовании машины третьим лицом.
Вся регистрируемая информация, классифицируется операционной системой и собирается в удобном и упорядоченном виде в соответствующих журналах Windows.
Для того чтобы найти эти журналы необходимо из меню «Пуск» нажать на иконку «Панель управления» и далее «Администрирование». В следующем окне среди ярлыков служб нужно выбрать «Просмотр событий», который в конечном итоге и содержит всю необходимую информацию.
Открывшееся окно разделено на три функциональные части: слева дерево категорий, по центру перечень событий, а справа действия.
Среди последних можно выделить возможность сохранения и поиска, при этом для конкретизации запроса также предусмотрен фильтр, позволяющий отсечь все несущественные и ненужные данные.
Ещё одной полезной функцией является очистка журнала, помогающая сократить общий объём баз, тем самым облегчив поиск в будущем, и, помимо всего прочего, скрыть следы своего вмешательства в работу компьютера.
Как проще всего посмотреть историю входов пользователей Windows 10?
Имееться сеть из 25 компов, сервер — контроллер домена, компы заведены в домен, и обычно для входа используються доменные учетные записи, но так же на разных компах имеются разные локальные учтеные записи.
Нужно получить информацию всех входов пользователей (и доменных и локальных ) на конкретном компе.
Сразу уточню что аудит входов в груповых политиках не был настроен.
Подскажите как проще всего можно это сделать?
- Вопрос задан более двух лет назад
- 591 просмотр