Como posso saber se alguém fez login na minha conta no Windows 7?

13

No Windows 7, existe uma maneira de saber se alguém fez login na minha conta quando eu estava ausente?

Especificamente, é possível saber se uma pessoa com privilégios de administrador de alguma forma entrou na minha conta (ou seja, para entrar no meu email, etc.)?

windows-7  security 
Erel Segal-Halevi
fonte
2
Por que eu precisaria fazer login? Eu apenas retiro o disco rígido, conecto-o ao meu e copio seu e-mail / arquivos / material super secreto sem nunca entrar no seu PC.
Grant

Respostas:

24

Método recomendado EDITADO (por favor, faça um favor a Susan Cannon abaixo):

  1. Pressione o Windowsbotão + Re digite eventvwr.msc.

  2. No visualizador de eventos, expanda Logs do Windows e selecione Sistema.

  3. No meio, você verá uma lista com Data e Hora, Origem, ID do Evento e Categoria da Tarefa. A categoria de tarefa explica praticamente o evento, logon, logon especial, logoff e outros detalhes.

Os eventos serão chamados Winlogon , com identificação de evento 7001 .

O evento Detalhes conterá o logon UserSid of Account, que você pode combinar com uma lista obtida no prompt de comando usando:

wmic useraccount

Espero que isto ajude!

Para ver uma lista, execute o "PowerShell" e cole o seguinte script em sua janela:

Get-EventLog system -Source Microsoft-Windows-Winlogon `
    | ? { $_.InstanceId -eq 7001 } `
    | ? {
            $sid = $_.ReplacementStrings[1]
            $objSID = New-Object System.Security.Principal.SecurityIdentifier ($sid)
            $objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
            $_ | Add-Member -Force -type NoteProperty -name User -value $objUser.Value
            return $true
        } `
    | ft -Property TimeGenerated,User

Você terá vários logins do sistema; eles são normais.

O que você estará procurando: ID do Evento 7001 - Winlogon.

Na guia Detalhes, procure UserSid

Uma indicação de logon terá a seguinte aparência: (vitória 8.1) Isso provavelmente será diferente na vitória 7

+ System
- EventData
   TSId        1
   User Sid    A-2-8-46-234435-6527-754372-3445

Em seguida, abra o prompt de comando clicando com o botão direito do mouse no botão Iniciar e selecionando-o.

Digite "wmic useraccount" e combine o SID com o nome de usuário anterior na lista longa exibida.

C:\Users\Superuser>wmic useraccount
AccountType  Caption  Description Disabled  Domain  FullName InstallDate
LocalAccount  Lockout  Name PasswordChangeable  PasswordExpires 
PasswordRequired  SID   SIDType  Status
512  ComputerName\Administrator   Built-in account for administering the
computer/domain  TRUE  ComputerName TRUE   FALSE  Administrator   TRUE
FALSE  TRUE A-2-8-46-234435-6527-754372-3447   1  Degraded

512  ComputerName\Superuser TRUE  ComputerName TRUE   FALSE  Superuser   TRUE
FALSE  TRUE **A-2-8-46-234435-6527-754372-3445**   1  Degraded

Vimos na lista que Superusuário é a conta que corresponde ao SID.

Pathfinder
fonte
Obrigado! Na verdade, vejo 4 eventos para cada logon bem-sucedido (sozinho): "Logon - 4624", "Special Logon - 4672", "Logon - 4648", "Logon - 4624", todos ao mesmo tempo.
Erel Segal-Halevi
Nota:  wmic useraccount get name,sidproduz uma saída muito mais gerenciável.
Scott
5

A resposta do Pathfinder de verificar o log de eventos informará se alguém fez login no seu computador. No entanto, isso não informará se eles entraram em outro computador com sua conta. Você precisaria verificar essa máquina ou um controlador de domínio para ver os logins de outras máquinas.

Quanto aos e-mails, isso é outra história. Como administrador do Exchange, posso ler os e-mails de qualquer pessoa em nossa organização. Honestamente, não sei se esse acesso está registrado em qualquer lugar. Tenho certeza de que seria, mas isso estaria disponível apenas para administradores do Exchange.

Keltari
fonte
@Pang: obrigado por adicionar o link e corrigir a pontuação das contrações, mas “mail” e “email”, como “air”, “water”, “sand” e centenas de outros, são válidos coletivos (massa / não- substantivos contáveis. O uso de Keltari do "e-mail" singular (coletivo) foi bom, como em "Os cavalheiros não lêem o correio um do outro". E Você tem correio .
Scott
@ Scott Sim, eu acho que você está certo . Sinta-se livre para editar isso de volta. Obrigado.
Pang
2

Se você estiver em uma rede corporativa, isso não funcionará. As empresas têm todos os tipos de logins automáticos. Analisei o evento 4648 ou 4624 e os logons são registrados com êxito, mesmo quando as pessoas não estão no escritório (e não, ninguém está se escondendo para fazer login nos PCs). Há milhares deles. Acabei de fazer login no PC uma vez e existem 10 fontes de atividades sob o 4624. Não fiz o login 10 vezes. Ontem, havia 12 logins ontem sob 4648, mas ninguém tocou no PC naquele dia. Portanto, essa não é uma lista precisa de logins de pessoas reais.

Se você deseja obter as informações de logon REAL, acesse Sistema em Logs do Windows e filtre no evento 7001 . Isso é um sucesso WINLOGONS . Isso corresponde aos logins do usuário e exclui os logins do sistema nos bastidores. Usando isso, encontrei a lista adequada de logins de usuários reais ao vivo no PC.

Mas, infelizmente, ainda não me diz quem está logado. Nossa empresa não mantém esses registros, pois teria uma milha de comprimento todos os dias. Eu olho para o UserID nos detalhes, e o UserID para o meu login agora corresponde a todos os outros UserID em todos os logins mostrados. E como este não é o meu PC, alguns dos logins definitivamente não são meus. Então, eu não sei sobre essa parte.

Susan Cannon
fonte
0

Windows 7 Ultimate conectado a um domínio, mas efetuando login localmente.

Acabei de acessar o log de eventos de segurança e percebi que o único momento em que consegui encontrar logons "legítimos" era o ID 4648 . Isso funcionou para mim.

user3590052
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.