Woher weiß ich, ob sich jemand in Windows 7 bei meinem Konto angemeldet hat?

13

Gibt es in Windows 7 eine Möglichkeit, festzustellen, ob sich jemand in meinem Konto angemeldet hat, als ich abwesend war?

Kann man insbesondere wissen, ob eine Person mit Administratorrechten auf irgendeine Weise in mein Konto eingegangen ist (z. B. um in meine E-Mail usw. zu gelangen)?

Erel Segal-Halevi
quelle
2
Warum sollte ich mich anmelden müssen? Ich würde einfach Ihre Festplatte herausziehen, sie in meine stecken und Ihre E-Mails / Dateien / supergeheimen Sachen kopieren, ohne mich jemals bei Ihrem PC anzumelden.
Grant

Antworten:

24

Empfohlene Methode BEARBEITET (Bitte bewerten Sie Susan Cannon unten):

  1. Drücken Sie die WindowsTaste + Rund geben Sie ein eventvwr.msc.

  2. Erweitern Sie in der Ereignisanzeige die Option Windows-Protokolle, und wählen Sie System aus.

  3. In der Mitte sehen Sie eine Liste mit Datum und Uhrzeit, Quelle, Ereignis-ID und Aufgabenkategorie. Die Aufgabenkategorie erklärt so ziemlich das Ereignis, die Anmeldung, die spezielle Anmeldung, die Abmeldung und andere Details.

Die Ereignisse werden als Winlogon mit der Ereignis-ID 7001 bezeichnet .

Die Ereignisdetails enthalten die Benutzer-ID der Kontoanmeldung , die Sie mit einer von der Eingabeaufforderung erhaltenen Liste abgleichen können, indem Sie Folgendes verwenden:

wmic useraccount 

Hoffe das hilft!


Um eine Liste anzuzeigen, führen Sie "PowerShell" aus und fügen Sie das folgende Skript in das Fenster ein:

Get-EventLog system -Source Microsoft-Windows-Winlogon `
    | ? { $_.InstanceId -eq 7001 } `
    | ? {
            $sid = $_.ReplacementStrings[1]
            $objSID = New-Object System.Security.Principal.SecurityIdentifier ($sid)
            $objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
            $_ | Add-Member -Force -type NoteProperty -name User -value $objUser.Value
            return $true
        } `
    | ft -Property TimeGenerated,User

Sie werden eine Reihe von Systemanmeldungen haben; Sie sind normal.

Was Sie suchen werden: Event ID 7001 - Winlogon.

Suchen Sie auf der Registerkarte Details nach UserSid

Die Anzeige eines Logins sieht folgendermaßen aus: (win 8.1) Dies wird wahrscheinlich in win 7 anders sein

+ System
- EventData
   TSId        1
   User Sid    A-2-8-46-234435-6527-754372-3445

Öffnen Sie dann die Eingabeaufforderung, indem Sie mit der rechten Maustaste auf die Startschaltfläche klicken und diese auswählen.

Geben Sie "wmic useraccount" ein und gleichen Sie die SID mit dem vorhergehenden Benutzernamen in der langen Liste ab.

C:\Users\Superuser>wmic useraccount
AccountType  Caption  Description Disabled  Domain  FullName InstallDate
LocalAccount  Lockout  Name PasswordChangeable  PasswordExpires 
PasswordRequired  SID   SIDType  Status
512  ComputerName\Administrator   Built-in account for administering the
computer/domain  TRUE  ComputerName TRUE   FALSE  Administrator   TRUE
FALSE  TRUE A-2-8-46-234435-6527-754372-3447   1  Degraded

512  ComputerName\Superuser TRUE  ComputerName TRUE   FALSE  Superuser   TRUE
FALSE  TRUE **A-2-8-46-234435-6527-754372-3445**   1  Degraded

Aus der Liste geht hervor, dass Superuser das Konto ist, das der SID entspricht.

Pfadfinder
quelle
Vielen Dank! Ich sehe tatsächlich 4 Ereignisse für jede erfolgreiche Anmeldung (von mir selbst): "Anmeldung - 4624", "Spezielle Anmeldung - 4672", "Anmeldung - 4648", "Anmeldung - 4624", alle gleichzeitig.
Erel Segal-Halevi
Hinweis:  wmic useraccount get name,sidErzeugt eine viel besser verwaltbare Ausgabe.
Scott
5

Wenn Pathfinder das Ereignisprotokoll überprüft, werden Sie darüber informiert, ob sich jemand bei Ihrem Computer angemeldet hat. Dies sagt Ihnen jedoch nicht, ob Sie sich mit Ihrem Konto bei einem anderen Computer angemeldet haben. Sie müssten diesen Computer oder einen Domänencontroller überprüfen, um Anmeldungen von anderen Computern zu sehen.

Bei E-Mails ist das eine andere Geschichte. Als Exchange-Administrator kann ich die E-Mails aller Mitarbeiter in unserer Organisation lesen. Ehrlich gesagt, ich weiß nicht, ob dieser Zugriff irgendwo protokolliert wird. Ich bin mir sicher, dass dies der Fall ist, aber das steht nur Exchange-Administratoren zur Verfügung.

Keltari
quelle
@Pang: Vielen Dank, dass Sie den Link hinzugefügt und die Interpunktion der Kontraktionen korrigiert haben, aber "Mail" und "E-Mail" wie "Luft", "Wasser", "Sand" und Hunderte anderer sind gültige kollektive zählen) Substantive. Keltaris Verwendung der singulären (kollektiven) "E-Mail" war in Ordnung, wie in "Die Herren lesen sich nicht gegenseitig die Post" und " Sie haben Post" .
Scott
@ Scott Ja, ich denke, du hast recht . Fühlen Sie sich frei, dies zu bearbeiten. Vielen Dank.
Pang
2

Wenn Sie sich in einem Unternehmensnetzwerk befinden, funktioniert dies nicht. Unternehmen haben alle Arten von automatischen Anmeldungen. Ich habe mir Ereignis 4648 oder 4624 angesehen, und Anmeldungen werden erfolgreich protokolliert, auch wenn sich keine Personen im Büro befinden (und nein, niemand schleicht sich an, um sich bei PCs anzumelden). Es gibt Tausende von ihnen. Ich habe mich gerade einmal am PC angemeldet und es gibt 10 Aktivitätsquellen unter 4624. Ich habe mich nicht 10 Mal angemeldet. Gestern gab es 12 Anmeldungen unter 4648, aber an diesem Tag hat niemand den PC berührt. Das ist also keine genaue Liste der Anmeldungen von echten Personen.

Wenn Sie die REAL-Anmeldeinformationen erhalten möchten, wechseln Sie unter Windows-Protokolle zu System , und filtern Sie nach Ereignis 7001 . Das ist erfolgreich WINLOGONS . Dies entspricht Benutzeranmeldungen und schließt Systemanmeldungen hinter den Kulissen aus. Auf diese Weise fand ich die richtige Liste der Benutzeranmeldungen von realen Personen am PC.

Leider erfahre ich immer noch nicht, wer eingeloggt ist. Unsere Firma führt diese Aufzeichnungen nicht, da sie jeden Tag eine Meile lang sein würden. Ich schaue mir die Benutzer-ID im Detail an und die Benutzer-ID, mit der ich mich gerade anmelde, stimmt mit jeder anderen Benutzer-ID unter jeder angezeigten Anmeldung überein. Und das ist nicht mein PC, also sind einige der Logins definitiv nicht von mir. Also weiß ich nichts über diesen Teil.

Susan Cannon
quelle
0

Windows 7 Ultimate ist mit einer Domäne verbunden, meldet sich jedoch lokal an.

Ich habe gerade das Sicherheitsereignisprotokoll durchgesehen und festgestellt, dass das einzige Mal, dass ich "legitime" Anmeldungen finden konnte, die ID 4648 war . Das hat bei mir funktioniert.

user3590052
quelle