Bagaimana saya bisa tahu jika seseorang telah masuk ke akun saya di Windows 7?

13

Di Windows 7, apakah ada cara untuk mengetahui apakah seseorang telah masuk ke akun saya ketika saya tidak ada?

Secara khusus, apakah mungkin untuk mengetahui apakah seseorang dengan hak administrator entah bagaimana memasuki akun saya (yaitu untuk masuk ke email saya dll.)?

windows-7 security

— Erel Segal-Halevi
sumber

2

Mengapa saya harus masuk? Saya hanya akan menarik hard drive Anda, tancapkan ke milik saya, dan salin email / file / hal-hal super rahasia Anda tanpa pernah masuk ke PC Anda.

— Grant

24

Metode yang Disarankan EDITED (Harap Suara Susan Cannon di bawah):

Tekan Windowstombol + Rdan ketik eventvwr.msc.
Di penampil peristiwa, Perluas Log Windows, dan pilih Sistem.
Di bagian tengah Anda akan melihat daftar dengan Tanggal dan Waktu, Sumber, ID Peristiwa, dan Kategori Tugas. Kategori Tugas cukup banyak menjelaskan acara, Masuk, Masuk Khusus, Keluar dan detail lainnya.

Acara tersebut akan disebut Winlogon , dengan ID Peristiwa 7001 .

Detail acara akan berisi UserSid dari Account logging, yang dapat Anda cocokkan dengan daftar yang diperoleh dari Command Prompt menggunakan:

wmic useraccount

Semoga ini membantu!

Untuk melihat daftar, jalankan "PowerShell", dan rekatkan skrip berikut ke dalam jendelanya:

Get-EventLog system -Source Microsoft-Windows-Winlogon `
    | ? { $_.InstanceId -eq 7001 } `
    | ? {
            $sid = $_.ReplacementStrings[1]
            $objSID = New-Object System.Security.Principal.SecurityIdentifier ($sid)
            $objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
            $_ | Add-Member -Force -type NoteProperty -name User -value $objUser.Value
            return $true
        } `
    | ft -Property TimeGenerated,User

Anda akan memiliki banyak login sistem; mereka normal.

Apa yang akan Anda cari: ID Peristiwa 7001 - Winlogon.

Di bawah Tab Detail, Cari UserSid

Indikasi login akan terlihat seperti ini: (win 8.1) Ini mungkin akan berbeda di win 7

+ System
- EventData
   TSId        1
   User Sid    A-2-8-46-234435-6527-754372-3445

Kemudian buka command prompt dengan mengklik kanan tombol start dan memilihnya.

Ketik "wmic useraccount" dan cocokkan SID dengan nama pengguna sebelumnya dalam daftar panjang yang muncul.

C:\Users\Superuser>wmic useraccount
AccountType  Caption  Description Disabled  Domain  FullName InstallDate
LocalAccount  Lockout  Name PasswordChangeable  PasswordExpires 
PasswordRequired  SID   SIDType  Status
512  ComputerName\Administrator   Built-in account for administering the
computer/domain  TRUE  ComputerName TRUE   FALSE  Administrator   TRUE
FALSE  TRUE A-2-8-46-234435-6527-754372-3447   1  Degraded

512  ComputerName\Superuser TRUE  ComputerName TRUE   FALSE  Superuser   TRUE
FALSE  TRUE **A-2-8-46-234435-6527-754372-3445**   1  Degraded

Kami melihat dari daftar bahwa Superuser adalah akun yang cocok dengan SID.

— Pramuka
sumber

Terima kasih! Saya benar-benar melihat 4 acara untuk setiap login yang berhasil (sendiri): "Logon - 4624", "Logon Khusus - 4672", "Logon - 4648", "Logon - 4624", semuanya pada waktu yang bersamaan.

— Erel Segal-Halevi

Catatan: wmic useraccount get name,sidmenghasilkan output yang jauh lebih mudah dikelola.

— Scott

5

Jawaban Pathfinder untuk memeriksa log peristiwa akan memberi tahu Anda jika seseorang masuk ke komputer Anda. Namun, itu tidak akan memberi tahu Anda jika mereka masuk ke komputer lain dengan akun Anda. Anda harus memeriksa mesin itu, atau Kontroler Domain untuk melihat login dari mesin lain.

Adapun email, itu cerita lain. Sebagai admin Exchange, saya dapat membaca email siapa saja di organisasi kami. Jujur, saya tidak tahu apakah akses itu dicatat di mana saja. Saya yakin itu akan terjadi, tetapi itu hanya akan tersedia untuk administrator Exchange.

— Keltari
sumber

@Pang: Terima kasih telah menambahkan tautan dan memperbaiki tanda baca dari kontraksi, tetapi "surat" dan "email", seperti "udara", "air", "pasir" dan ratusan lainnya, adalah kolektif yang valid (massa / non- hitung) kata benda. Penggunaan Keltari dari "email" tunggal (kolektif) baik-baik saja, seperti dalam "Tuan-tuan tidak saling membaca surat." Dan You've Got Mail .

— Scott

@Scott Ya saya kira Anda benar . Jangan ragu untuk mengeditnya kembali. Terima kasih.

— Pang

2

Jika Anda berada di jaringan perusahaan, ini tidak akan berhasil. Perusahaan memiliki semua jenis login otomatis. Saya melihat pada salah satu acara 4648 atau 4624, dan login berhasil dicatat bahkan ketika orang tidak ada di kantor (dan tidak, tidak ada yang menyelinap masuk untuk masuk ke PC). Ada ribuan dari mereka. Saya baru saja masuk ke PC satu kali, dan ada 10 sumber aktivitas di bawah 4624. Saya tidak masuk 10 kali. Ada 12 login kemarin di bawah 4648, tetapi tidak ada yang menyentuh PC sama sekali hari itu. Jadi itu bukan daftar yang akurat dari login orang asli.

Jika Anda ingin info masuk NYATA, buka Sistem di bawah Log Windows, dan filter pada acara 7001 . Ini adalah WINLOGONS yang berhasil . Ini sesuai dengan login pengguna, dan mengecualikan login sistem di belakang layar. Dengan menggunakan ini, saya menemukan daftar yang benar dari login pengguna live orang yang nyata ke PC.

Tetapi sayangnya itu masih tidak memberitahu saya SIAPA yang login. Perusahaan kami tidak menyimpan catatan itu karena akan menjadi satu mil panjang setiap hari. Saya melihat UserID di detailnya, dan UserID untuk saya yang masuk sekarang cocok dengan semua UserID lain di bawah setiap login yang ditampilkan. Dan ini bukan PC saya, jadi beberapa login jelas bukan milik saya. Jadi saya tidak tahu tentang bagian itu.

— Susan Cannon
sumber

0

Windows 7 Ultimate terhubung ke domain, tetapi masuk secara lokal.

Saya baru saja masuk melalui log peristiwa keamanan dan menyadari bahwa satu-satunya waktu saya dapat menemukan log masuk yang "sah" adalah untuk ID 4648 . Ini berhasil untuk saya.

— pengguna3590052
sumber