我如何知道是否有人在Windows 7中登录了我的帐户?

13

在Windows 7中,是否有办法知道我不在时是否有人登录了我的帐户?

具体来说,是否可以知道具有管理员特权的人是否以某种方式输入了我的帐户(即为了进入我的电子邮件等)?

windows-7  security 
埃雷尔·西格尔·哈利维(Erel Segal-Halevi)
source
2
为什么我需要登录?我只需要拔出硬盘驱动器,将其插入我的硬盘中,然后复制电子邮件/文件/超级机密内容,而无需登录PC。
格兰特(Grant)

Answers:

24

推荐的方法已编辑(请在下面将Susan Cannon降下来):

  1. Windows按钮+ R并输入eventvwr.msc

  2. 在事件查看器中,展开“ Windows日志”,然后选择“系统”。

  3. 在中间,您将看到一个包含日期和时间,源,事件ID和任务类别的列表。任务类别几乎解释了事件,登录,特殊登录,注销和其他详细信息。

这些事件将称为Winlogon,事件ID为7001

事件详细信息将包含登录的帐户的UserSid,您可以将其与使用以下命令从命令提示符获取的列表进行匹配:

wmic useraccount

希望这可以帮助!

要查看列表,请运行“ PowerShell”,并将以下脚本粘贴到其窗口中:

Get-EventLog system -Source Microsoft-Windows-Winlogon `
    | ? { $_.InstanceId -eq 7001 } `
    | ? {
            $sid = $_.ReplacementStrings[1]
            $objSID = New-Object System.Security.Principal.SecurityIdentifier ($sid)
            $objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
            $_ | Add-Member -Force -type NoteProperty -name User -value $objUser.Value
            return $true
        } `
    | ft -Property TimeGenerated,User

您将拥有大量的系统登录信息;他们是正常的。

您将要寻找的是: 事件ID 7001-Winlogon。

在“详细信息”选项卡下,查找“ UserSid”

登录的指示将如下所示:(win 8.1)在win 7中可能会有所不同

+ System
- EventData
   TSId        1
   User Sid    A-2-8-46-234435-6527-754372-3445

然后通过右键单击开始按钮并选择它来打开命令提示符。

输入“ wmic useraccount”,并将SID与出现的长列表中的前面的用户名匹配。

C:\Users\Superuser>wmic useraccount
AccountType  Caption  Description Disabled  Domain  FullName InstallDate
LocalAccount  Lockout  Name PasswordChangeable  PasswordExpires 
PasswordRequired  SID   SIDType  Status
512  ComputerName\Administrator   Built-in account for administering the
computer/domain  TRUE  ComputerName TRUE   FALSE  Administrator   TRUE
FALSE  TRUE A-2-8-46-234435-6527-754372-3447   1  Degraded

512  ComputerName\Superuser TRUE  ComputerName TRUE   FALSE  Superuser   TRUE
FALSE  TRUE **A-2-8-46-234435-6527-754372-3445**   1  Degraded

从列表中我们可以看到,超级用户是与SID匹配的帐户。

探路者
source
谢谢!实际上,每次成功登录(我自己)都会看到4个事件:“登录-4624”,“特殊登录-4672”,“登录-4648”,“登录-4624”,所有这些都同时显示。
Erel Segal-Halevi 2014年
注意:  wmic useraccount get name,sid产生更易于管理的输出。
斯科特(Scott)
5

探路者检查事件日志的答案将使您知道是否有人登录到您的计算机。但是,这不会告诉您他们是否使用您的帐户登录了另一台计算机。您必须检查该计算机或域控制器才能查看其他计算机的登录信息。

至于电子邮件,那是另一回事了。作为Exchange管理员,我可以阅读组织中任何人的电子邮件。老实说,我不知道该访问是否记录在任何地方。我敢肯定会这样,但这仅适用于Exchange管理员。

凯尔塔里
source
@Pang:感谢您添加链接并修复宫缩标点,但是“ mail”和“ email”(例如“ air”,“ water”,“ sand”等数百种)是有效的集合(质量/非可数名词。凯尔塔里(Keltari)使用单数(集体)“电子邮件”很好,例如“先生们不读对方的邮件”。并且您有邮件
斯科特(Scott)
@Scott是的,我想你是对的。随时进行编辑。谢谢。
2

如果您在公司网络中,则将无法使用。公司有各种各样的自动登录。我查看了事件4648或4624,即使人们不在办公室,登录也已成功登录(不,没有人偷偷登录PC)。有成千上万的。我刚刚登录PC一次,并且在4624下有10个活动源。我没有登录10次。昨天有4648个登录名存在12下,但是那天没有人碰过PC。因此,这不是真实用户登录的准确列表。

如果你想真正的登录信息,进入系统下的Windows日志,事件过滤器7001。这是成功的WINLOGONS。这对应于用户登录,并且不包括后台的系统登录。使用此工具,我找到了真实的实时个人用户登录PC的正确列表。

但是不幸的是,它仍然没有告诉我谁已登录。我们的公司没有保留这些记录,因为每天的记录长达一英里。我在详细信息中查看了UserID,刚才登录的UserID与显示的每次登录下的所有其他UserID匹配。这不是我的PC,因此某些登录名绝对不是我的。所以我不知道那部分。

苏珊·坎农
source
0

Windows 7 Ultimate已连接到域,但在本地登录。

我刚刚浏览了安全事件日志,并意识到唯一可以找到“合法”登录的是ID 4648。这对我有用。

用户名
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.