Birisinin Windows 7'de hesabımda oturum açıp açmadığını nasıl bilebilirim?

13

Windows 7'de, ben yokken birinin hesabımda oturum açıp açmadığını bilmenin bir yolu var mı?

Özellikle, yönetici ayrıcalıklarına sahip bir kişinin hesabımı bir şekilde girip girmediğini bilmek mümkün mü (örn. E-postama girmek için)?

windows-7  security 
Erel Segal-Halevi
kaynak
2
Neden giriş yapmam gerekiyor? Ben sadece sabit diskinizi çıkarın, benimkine takın ve e-postalarınızı / dosyalarınızı / süper gizli şeylerinizi PC'nize giriş yapmadan kopyalayacağım.
Grant

Yanıtlar:

24

Önerilen Yöntem DÜZENLENMİŞ (Lütfen Susan Cannon'u aşağıdan indirin):

  1. Windows+ Düğmesine basın Rve yazın eventvwr.msc.

  2. Olay görüntüleyicide, Windows Günlükleri'ni genişletin ve Sistem'i seçin.

  3. Ortada Tarih ve Saat, Kaynak, Etkinlik Kimliği ve Görev Kategorisi içeren bir liste göreceksiniz. Görev Kategorisi, olayı, Oturum Açma, Özel Oturum Açma, Oturum Kapatma ve diğer ayrıntıları hemen hemen açıklar.

Olaylar, Olay Kimliği 7001 ile Winlogon olarak adlandırılacaktır .

Etkinlik Ayrıntıları, aşağıdakileri kullanarak Komut İstemi'nden alınan bir listeyle eşleştirebileceğiniz KullanıcıKimliği oturum açma oturumunu içerir:

wmic useraccount

Bu yardımcı olur umarım!

Bir listeyi görmek için "PowerShell" i çalıştırın ve aşağıdaki komut dosyasını penceresine yapıştırın:

Get-EventLog system -Source Microsoft-Windows-Winlogon `
    | ? { $_.InstanceId -eq 7001 } `
    | ? {
            $sid = $_.ReplacementStrings[1]
            $objSID = New-Object System.Security.Principal.SecurityIdentifier ($sid)
            $objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
            $_ | Add-Member -Force -type NoteProperty -name User -value $objUser.Value
            return $true
        } `
    | ft -Property TimeGenerated,User

Bir sürü sistem girişiniz olacak; normaldir.

Ne arayacağınız: Event ID 7001 - Winlogon.

Ayrıntılar Sekmesi altında, UserSid'i arayın

Bir girişin göstergesi şu şekilde görünecektir: (win 8.1) Bu muhtemelen win 7'de farklı olacaktır

+ System
- EventData
   TSId        1
   User Sid    A-2-8-46-234435-6527-754372-3445

Ardından, Başlat düğmesine sağ tıklayıp seçerek komut istemini açın.

"Wmic useraccount" yazın ve SID'yi gelen uzun listede önceki kullanıcı adıyla eşleştirin.

C:\Users\Superuser>wmic useraccount
AccountType  Caption  Description Disabled  Domain  FullName InstallDate
LocalAccount  Lockout  Name PasswordChangeable  PasswordExpires 
PasswordRequired  SID   SIDType  Status
512  ComputerName\Administrator   Built-in account for administering the
computer/domain  TRUE  ComputerName TRUE   FALSE  Administrator   TRUE
FALSE  TRUE A-2-8-46-234435-6527-754372-3447   1  Degraded

512  ComputerName\Superuser TRUE  ComputerName TRUE   FALSE  Superuser   TRUE
FALSE  TRUE **A-2-8-46-234435-6527-754372-3445**   1  Degraded

Listeden Superuser'in SID ile eşleşen hesap olduğunu görüyoruz .

yol gösterici
kaynak
Teşekkürler! Aslında her bir başarılı oturum açma için 4 olay görüyorum (kendim): "Oturum Açma - 4624", "Özel Oturum Açma - 4672", "Oturum Açma - 4648", "Oturum Açma - 4624", aynı anda.
Erel Segal-Halevi
Not:  wmic useraccount get name,sidçok daha yönetilebilir bir çıktı üretir.
Scott
5

Pathfinder'ın olay günlüğünü kontrol etme yanıtı , birisinin bilgisayarınıza giriş yapıp yapmadığını size bildirir. Ancak, bu, hesabınızla başka bir bilgisayara giriş yapıp yapmadığını söylemez. Diğer makinelerin giriş bilgilerini görmek için o makineyi veya bir Etki Alanı Denetleyicisini kontrol etmeniz gerekir.

E-postalara gelince, bu başka bir hikaye. Bir Exchange yöneticisi olarak, ben yapabilirsiniz kuruluşumuzun herkes e-postaları okumak. Dürüst olmak gerekirse, bu erişimin herhangi bir yere kaydedilip kaydedilmediğini bilmiyorum. Eminim olurdu, ama bu sadece Exchange yöneticileri tarafından kullanılabilir.

Keltari
kaynak
@Pang: Bağlantıyı eklediğiniz ve kasılmaların noktalama işaretlerini düzelttiğiniz için teşekkür ederiz, ancak "hava", "su", "kum" ve yüzlerce diğerleri gibi "posta" ve "e-posta" geçerli topludır (toplu / saymak) isimler. Keltari'nin tekil (kolektif) “e-posta” yı kullanması iyiydi, çünkü “Beyler birbirlerinin postalarını okuma”. ve Mail'iniz var .
Scott
@Scott Evet sanırım haklısın . Bunu geri düzenlemekten çekinmeyin. Teşekkürler.
Pang
2

Şirket ağındaysanız, bu işe yaramaz. Şirketler her türlü otomatik girişe sahiptir. Her iki olayda da 4648 veya 4624'e baktım ve insanlar ofiste değilken bile oturumlar başarıyla günlüğe kaydedildi (ve hiç kimse PC'lerde oturum açmak için gizlice girmiyor). Binlercesi var. PC'ye bir kez giriş yaptım ve 4624'ün altında 10 aktivite kaynağı var. 10 kez giriş yapmadım. Dün 4648'in altında 12 giriş yapıldı, ancak hiç kimse o gün PC'ye dokunmadı. Yani bu gerçek kişi girişlerinin doğru bir listesi değil.

GERÇEK giriş bilgilerini istiyorsanız, Windows Günlükleri altında Sistem'e gidin ve olay 7001'de filtreleyin . Bu başarılı WINLOGONS . Bu, kullanıcı oturumlarına karşılık gelir ve sahne arkasındaki sistem oturumlarını hariç tutar. Bunu kullanarak, PC'de gerçek kullanıcı oturumlarının doğru listesini buldum.

Ama maalesef hala bana kimin giriş yaptığını söylemiyor. Şirketimiz bu kayıtları her gün bir mil uzunluğunda tutamayacağı için tutmuyor. Detaylarda UserID'ye bakıyorum ve giriş yaptığım UserID şimdi gösterilen her giriş altında diğer tüm UserID'lerle eşleşiyor. Ve bu benim bilgisayarım değil, bu yüzden bazı girişler kesinlikle benim değil. O yüzden bu kısmı bilmiyorum.

Susan Cannon
kaynak
0

Windows 7 Ultimate bir etki alanına bağlı, ancak yerel olarak oturum açıyor.

Güvenlik olay günlüğüne girdim ve "meşru" oturumları bulabildiğim tek zamanın 4648 ID'si için olduğunu fark ettim . Bu benim için çalıştı.

user3590052
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.