Включить аудит входа в систему windows 10

Обновлено: 02.07.2024

Следите за успешными и неудачными попытками входа в систему при авторизации в Windows 10.

Windows 10 имеет много функций безопасности для защиты учетной записи и данных от посторонних глаз. Пользователь получает такие функции, как защита паролем, двухфакторная аутентификация и использование PIN в качестве вспомогательного метода аутентификации. Все они значительно усложняют задачу взлома аккаунта.

Тем не менее, несмотря на все предлагаемые меры безопасности, при использовании компьютера в условиях, когда другие пользователи имеют физический доступ к устройству, бывает очень сложно определить, использовался ли компьютер посторонними лицами.

К счастью, при использовании локального аккаунта в Windows 10, у пользователей есть возможность просмотреть информацию о предыдущих попытках авторизации (как успешных, так и потерпевших неудачу). Эти данные позволяют выяснить, пытался ли кто-либо получить доступ к компьютеру без авторизации. На их основе можно сделать вывод о необходимости усиления защиты устройства.

В данном руководстве приведем все шаги использования редактора групповых политик и реестра для отображения информации о последних входах и неудачных попытках доступа к аккаунту с момента последнего интерактивного входа в систему.

Как включить отображение информации о последних попытках входа с помощью локальных групповых политик

Пользователи Windows 10 Pro, Enterprise или Education могут использовать редактор локальной групповой политики для включения отображения информации о последних попытках входа.

Для того нужно проделать следующие шаги:

  1. Нажмите сочетание клавиш Windows + R для открытия диалогового окна “Выполнить”.
  2. Введите gpedit.msc и нажмите OK для открытия редактора локальных групповых политик.
  3. Перейдите по пути: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Параметры входа Windows
  4. В правой области выберите политику под названием “Отображать при входе пользователя сведения о предыдущих попытках входа”

Отображать при входе пользователя сведения о предыдущих попытках входа

Включено

В любое время вы можете отменить изменения, выполнив те же шаги, но на 5 шаге нужно выбрать опцию “Не задано”.

Как включить отображение информации о последних попытках входа с помощью реестра

При использовании Windows 10 Домашняя пользователь не имеет доступа к редактору локальной групповой политики. Тем не менее, таких же результатов можно добиться при использовании редактора реестра.

Важно: Редактирование реестра может привести к необратимому нарушению работы системы, если вы сделаете что-то неправильно. Рекомендуется сделать полную резервную копию компьютера перед началом работы.

  1. Нажмите сочетание клавиш Windows + R для открытия диалогового окна “Выполнить”.
  2. Введите regedit и нажмите OK для открытия редактора реестра.
  3. Перейдите по пути: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
  4. Выберите раздел System, нажмите правой кнопкой мыши и выберите опцию “Создать > Параметр DWORD (32 бита)”

Как включить отображение информации о последних попытках входа с помощью реестра

DisplayLastLogonInfo

В любое время вы можете отменить изменения, выполнив те же шаги, но на 6 шаге нужно изменить значение DWORD с 1 на 0.

Во время последующих авторизаций пользователь увидит информацию о предыдущих попытках входа.

Заключение

Хотя данная функция не позволит предотвратить несанкционированный доступ к компьютеру, вы по крайней мере узнаете, что кто-то смог взломать локальный аккаунт или пытался безуспешно угадать ваш пароль.

Несмотря на то, что данное руководство предназначено для Windows 10, функция отображения информации о последних входах давно присутствует в системах Windows, а значит эти шаги должны также сработать в Windows 7 и Windows 8.1.

Вы когда-нибудь хотели следить за тем, кто и когда входил в систему, установленную на вашем компьютере. На профессиональных изданиях Windows специально для этого существует политика аудита входа, о которой мы сейчас и поговорим.

Смотрим кто и когда из пользователей входил в систему на вашем компьютере

«Аудит событий входа в систему» отслеживает как локальные, так и сетевые входы. При каждом входе определяется учетная запись пользователя и время, в которое состоялся вход. Также вы сможете узнать, когда пользователь вышел из системы.

Включаем «Аудит входа в систему»

Во-первых, откройте «Редактор локальной групповой политики» – откройте меню «Пуск», в поисковую строку введите gpedit.msc и нажмите Enter.

14-09-2012 15-29-13

В левой части окна проследуйте по следующему пути: Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита.

14-09-2012 15-29-54

Дважды кликните по политике «Аудит событий входа в систему» в правой части окна. В диалоговом окне «Свойства» отметьте галочкой параметр «Успех» для того, чтобы позволить отслеживание успешных входов в систему. Также вы можете включить параметр «Отказ» – так вы позволите отслеживание неудачных попыток входа.

Вам может быть интересно: Классическое меню пуск как в 10

14-09-2012 15-30-50

Просматриваем события входа в систему

После включения этого параметра, Windows начнет регистрировать (в журнал безопасности) все события входа в систему, в том числе имя пользователя и время. Чтобы увидеть эти события, запустите инструмент «Просмотр событий» – откройте меню «Пуск», в строку поиска введите текст «Просмотр событий» и нажмите клавишу Enter.

14-09-2012 15-31-28

Далее перейдите в «Журналы Windows» и выберите категорию «Безопасность». Нас интересуют события с кодом 4624 – это события успешного входа в систему.

14-09-2012 15-32-42

Чтобы увидеть больше информации, включая имя учетной записи пользователя, входившего в систему, дважды щелкните по событию. Прокручивая вниз текстовое поле, вы увидите всю необходимую информацию.

14-09-2012 15-33-11

Если вы хотите, чтобы в журнале безопасности отображались исключительно события входа, нажмите на кнопку «Фильтровать текущий журнал», которая расположена в боковой панели справа и в появившемся окне отфильтруйте события как на скриншоте ниже:

Определяет, следует ли проверять каждый экземпляр входа пользователя на устройство или его отключение.

События логотипа учетной записи создаются на контроллерах доменов для действий учетных записей домена и на локальных устройствах для локальной активности учетной записи. Если включены как категории политик аудита для логотипов учетных записей, так и для политик аудита, логотипы, которые используют учетную запись домена, создают событие logon или logoff на рабочей станции или сервере и создают событие логотипа учетной записи на контроллере домена. Кроме того, интерактивные логотипы на сервере членов или рабочей станции, которые используют учетную запись домена, создают событие logon на контроллере домена, так как скрипты и политики логотипа извлекаются при входе пользователя в систему. Дополнительные сведения о событиях с логотипом учетной записи см. в сайте Audit account logon events.

Определяя этот параметр политики, можно задать аудит успехов, аудит неудач либо отключить аудит всех типов событий. Аудиты успешности создают запись аудита при успешной попытке логотипа. Аудиты сбоя создают запись аудита при сбое попытки логона.

Чтобы установить это значение без аудита, в диалоговом окне **** Свойства для этого параметра политики выберите флажок Определить эти параметры политики и очистить флажки Success и Failure. ****

Сведения о расширенных параметрах политики безопасности для событий с логотипами см. в разделе Logon/logoff в разделе Расширенные параметры политики аудита безопасности.

Настройка параметра аудита

Вы можете настроить этот параметр безопасности, открыв соответствующую политику в области конфигурации компьютера\Windows Параметры\Security Параметры\Local Policies\Audit Policy.

События Logon Описание
4624 Пользователь успешно вошел на компьютер. Сведения о типе логотипа см. в таблице Типы logon ниже.
4625 Сбой Logon. Попытка логотипа была предпринята с неизвестным именем пользователя или известным именем пользователя с плохим паролем.
4634 Процесс входа был завершен для пользователя.
4647 Пользователь инициировал процесс входа.
4648 Пользователь успешно вошел на компьютер с использованием явных учетных данных, уже во время входа в систему в качестве другого пользователя.
4779 Пользователь отключил сеанс сервера терминала без входа.

При входе в журнал события 528 в журнале событий также указан тип логотипа. В следующей таблице описывается каждый тип логотипа.


Вы когда-нибудь хотели контролировать, кто входит в ваш компьютер и когда? В профессиональных выпусках Windows вы можете включить аудит входа в систему, чтобы запись всех входов в Windows.

Аудит входов в систему отслеживает как локальных пользователей, так и сетевые учетные записи. Каждое событие входа указывает учетную запись пользователя, с помощью которой происходила авторизация. Вы также можете увидеть, когда пользователи вышли из системы.

Примечание. Аудит входа в систему работает только в профессиональной версии Windows, поэтому вы не можете использовать это, если у вас домашняя версия. Это должно работать на Windows 7, 8 и Windows 10. Мы рассмотрим Windows 10 в этой статье. В других версиях экраны могут выглядеть немного иначе, но этот процесс почти такой же.

Как включить аудит входа в систему

Чтобы включить аудит входа в систему, мы будем использовать редактор локальных групповых политик. Это довольно мощный инструмент, поэтому, если вы никогда не использовали его раньше, стоит потратить некоторое время на его изучение. Кроме того, если ваш компьютер подключен к сети компаний, сначала Вам придётся обратиться за разрешением к администратору. Если ваш рабочий компьютер является частью домена, также вероятно, что это часть политики группы доменов, которая в любом случае заменит политику локальной группы.

Чтобы открыть редактор локальной групповой политики, нажмите Win + R , введите gpedit.msc и нажмите Enter .

Запуск редактор групповой политики системы Windows 10

В редакторе локальных групповых политик в левой панели перейдите к политике Локального компьютераКонфигурация компьютераКонфигурация WindowsПараметры безопасностиЛокальные политикиПолитика аудита. В правой панели дважды щелкните параметр «Аудит входа в систему».

Включение параметра аудита входа в систему

Активация записи входов в систему Windows

Теперь вы можете закрыть окно редактора локальной групповой политики.

Просмотр событий входа в систему

После включения аудита входа Windows записывает события входа в систему вместе с именем пользователя и меткой времени в журнале безопасности. Вы можете просмотреть эти события, используя Event Viewer .

Нажмите значок поиска рядом с меню «Пуск», введите «Просмотр событий» и нажмите соответствующий результат в окне поиска.

В окне «Просмотр событий» в левой панели перейдите в раздел «Журналы Windows» → «Безопасность».

Просмотр событий в журнале безопасности Windows

В центральной панели вы, вероятно, увидите ряд событий «Аудит успеха». Windows регистрирует отдельные сведения о таких вещах, как предоставление своих привилегий проверенным аккаунтом. Вам нужной найти события с идентификатором 4624 – они представляют собой успешные события входа в систему. Вы можете увидеть подробности о выбранном событии в нижней части этой средней панели, а также можете дважды щелкнуть событие, увидев его данные в отдельном окне.

Если Вы перейдёте к деталям, то сможете увидеть такую информацию, как имя учетной записи пользователя.

Включаем аудит входа в учётную запись пользователя Windows

Вы никогда не задумывались о том, что если вы можете отслеживать деятельность залогиневшегося пользователя ОС Windows, то Вы так же можете и записывать информацию том, кто вошел в систему и, когда они из неё вышел? Это вполне возможно, если в системе Windows использовать функцию аудита входа. Отслеживание входа и выход пользователя очень полезно в организациях, где данные являются конфиденциальными и в ситуациях, когда Вы просто хотите узнать «кто это сделал» в вашей системе Windows. По умолчанию, функция аудита входа отключена в Windows. В этой статье, давайте посмотрим, как включить аудит авторизации и как отслеживания эти события в системе Windows.
Примечание: Аудит входа доступен только в Pro или Enterprise версий Windows 8.

Что такое Аудит входа

Включение аудита входа

Выполнить

После того, как редактор будет запущен, Перейдите в области навигации по следующему пути:

«Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита»

В открывшемся списке найдите и дважды кликните мышкой на политику «Аудит входа в систему». Пожалуйста, не путайте «Аудит входа в систему» с «Аудит событий входа в систему», так как это совершенно разных параметры.

Редактор локальной групповой политики

Свойства Аудит входа в систему

Вот и все, что нужно сделать. С этого момента, каждый вход и выход, а также попытки входа будут записываться в журнале событий.

Просмотр событий аудита входа в систему

Вы можете просмотреть все записи журнала входа, выхода и неудачных попыток входа в систему, в окне просмотра событий Windows. Вы можете запустить программу просмотра событий с помощью функции поиска в меню «Пуск». Если вы используете Windows 8, то Вы можете запустить то же самое окно с помощью меню сочетания клавиш «Win + X» и выбрав из меню пункт «Просмотр событий».

Win+X

После того как вы запустите окно «Просмотра событий», перейдите к разделу «Журналы Windows», и выберете журнал «Безопасность».

Просмотр событий

Здесь Вы найдете все, что связанно с событиями безопасности, которые произошли в Вашей системе Windows. Если Вы дважды щелкните по ключевому слову «Аудит успеха», то Вы узнаете детальную информацию по данному событию.

Просмотр событий 2

Так же Вы можете фильтровать журнал событий с помощью различных параметров, нажав на кнопку «Фильтр текущего журнала…», расположенную на правой боковой панели окна «Просмотр событий».

Фильтровать текущий журнал

Читайте также: