Вы когда-нибудь хотели следить за тем, кто и когда входил в систему, установленную на вашем компьютере. На профессиональных изданиях Windows специально для этого существует политика аудита входа, о которой мы сейчас и поговорим.
«Аудит событий входа в систему» отслеживает как локальные, так и сетевые входы. При каждом входе определяется учетная запись пользователя и время, в которое состоялся вход. Также вы сможете узнать, когда пользователь вышел из системы.
Включаем «Аудит входа в систему»
Во-первых, откройте «Редактор локальной групповой политики» – откройте меню «Пуск», в поисковую строку введите gpedit.msc и нажмите Enter.
В левой части окна проследуйте по следующему пути: Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита.
Дважды кликните по политике «Аудит событий входа в систему» в правой части окна. В диалоговом окне «Свойства» отметьте галочкой параметр «Успех» для того, чтобы позволить отслеживание успешных входов в систему. Также вы можете включить параметр «Отказ» – так вы позволите отслеживание неудачных попыток входа.
Просматриваем события входа в систему
После включения этого параметра, Windows начнет регистрировать (в журнал безопасности) все события входа в систему, в том числе имя пользователя и время. Чтобы увидеть эти события, запустите инструмент «Просмотр событий» – откройте меню «Пуск», в строку поиска введите текст «Просмотр событий» и нажмите клавишу Enter.
Далее перейдите в «Журналы Windows» и выберите категорию «Безопасность». Нас интересуют события с кодом 4624 – это события успешного входа в систему.
Чтобы увидеть больше информации, включая имя учетной записи пользователя, входившего в систему, дважды щелкните по событию. Прокручивая вниз текстовое поле, вы увидите всю необходимую информацию.
Если вы хотите, чтобы в журнале безопасности отображались исключительно события входа, нажмите на кнопку «Фильтровать текущий журнал», которая расположена в боковой панели справа и в появившемся окне отфильтруйте события как на скриншоте ниже:
Отличного Вам дня!
В некоторых случаях, особенно в целях родительского контроля, может потребоваться узнать, кто и когда включал компьютер или входил в систему. По умолчанию, каждый раз, когда кто-то включает компьютер или ноутбук и входит в Windows, в системном журнале появляется запись об этом.
Просмотреть такую информацию можно в утилите «Просмотр событий», однако есть способ проще — отображение данных о предыдущих входах в Windows 10 на экране входа в систему, что и будет показано в этой инструкции (работает только для локальной учетной записи). Также на схожую тему может пригодиться: Как ограничить количество попыток ввода пароля Windows 10, Родительский контроль Windows 10.
Узнаем, кто и когда включал компьютер и входил в Windows 10 с помощью редактора реестра
В первом способе используется редактор реестра Windows 10. Рекомендую предварительно сделать точку восстановления системы, может пригодиться.
- Нажмите клавиши Win+R на клавиатуре (Win — это клавиша с эмблемой Windows) и введите regedit в окно «Выполнить», нажмите Enter.
- В редакторе реестра перейдите к разделу (папки слева) HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Policies System
- Нажмите правой кнопкой мыши в пустом месте правой части редактора реестра и выберите «Создать» — «Параметр DWORD 32 бита» (даже если у вас 64-разрядная система).
- Введите имя DisplayLastLogonInfo для этого параметра.
- Дважды кликните по вновь созданному параметру и задайте значение 1 для него.
По завершении закройте редактор реестра и перезагрузите компьютер. При следующем входе в систему вы увидите сообщение о предыдущем успешном входе в Windows 10 и о неудачных попытках входа, если такие были, как на скриншоте ниже.
Отображение информации о предыдущем входе в систему с помощью редактора локальной групповой политики
Если у вас установлена Windows 10 Pro или Enterprise, то описанное выше вы можете сделать и с помощью редактора локальной групповой политики:
- Нажмите клавиши Win+R и введите gpedit.msc
- В открывшемся редакторе локальной групповой политики перейдите к разделу Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Параметры входа Windows.
- Дважды кликните по пункту «Отображать при входе пользователя сведения о предыдущих попытках входа», установите значение «Включено», нажмите Ок и закройте редактор локальной групповой политики.
Готово, теперь при следующих входах в Windows 10 вы будете видеть дату и время удачных и неудачных входов этого локального пользователя (функция поддерживается также для домена) в систему. Также может заинтересовать: Как ограничить время использования Windows 10 для локального пользователя.
При расследовании различных инцидентов администратору необходимо получить информацию кто и когда заходил на определенный компьютер Windows. Историю входов пользователя в доменной сети можно получить из журналов контроллеров домена. Но иногда проще получить информацию непосредсвенно из логов компьютера. В этой статье мы покажем, как получить и проанализировать историю входа пользователей на компьютер/сервер Windows. Такая статистика поможет вам ответить на вопрос “Как в Windows проверить кто и когда использовал этот компьютере”.
Содержание:
- Настройка политики аудита входа пользователей в Windows
- Поиск событий входа пользователей в журнале событий Windows
- Анализ событий входа пользователей в Windows с помощью PowerShell
Настройка политики аудита входа пользователей в Windows
Сначала нужно включить политик аудита входа пользователей. На отдельностоящем компьютере для настройки параметров локальной групповой политики используется оснастка gpedit.msc. Если вы хотите включить политику для компьютеров в домене Active Directorty, нужно использовать редактор доменных GPO (
gpmc.msc
).
- Запустите консоль GPMC, создайте новую GPO и назначьте ее на Organizational Units (OU) с компьютерами и / или серверами, для которых вы хотите включить политику аудита событий входа;
- Откройте объект GPO и перейдите в раздел Computer Configuration -> Policies -> Windows Settings -> Security Settings –> Advanced Audit Policy Configuration -> Audit Policies -> Logon/Logoff;
- Включите две политики аудита Audit Logon и Audit Logoff. Это позволит отслеживать как события входа, так и события выхода пользователей. Если вы хотите отслеживать только успешные события входа, включите в настройках политик только опцию Success;
- Закройте редактор GPO и обновите настройки политик на клиентах.
Поиск событий входа пользователей в журнале событий Windows
После того как вы включили политики аудита входа, при каждом входе пользователя в Windows в журнале Event Viewer будет появляться запись о входе. Посмотрим, как она выглядит.
- Откройте оснастку Event Viewer (
eventvwr.msc
); - Разверните секцию Windows Logs и выберите журнал Security;
- Щелкните по нему правой клавишей и выберите пункт Filter Current Log;
- В поле укажите ID события 4624 и нажмите OK;
- В окне события останутся только события входа пользователей, системных служб с описанием
An account was successfully logged on
; - В описании события указано имя и домен пользователя, вошедшего в систему:
New Logon: Security ID: WINITPROa.khramov Account Name: a.khramov Account Domain: WINITPRO
Ниже перечислены другие полезные EventID:
Event ID | Описание |
4624 | A successful account logon event |
4625 | An account failed to log on |
4648 | A logon was attempted using explicit credentials |
4634 | An account was logged off |
4647 | User initiated logoff |
Если полистать журнал событий, можно заметить, что в нем присутствуют не только события входа пользователей на компьютер. Здесь также будут события сетевого доступа к этому компьютеру (при открытии по сети общих файлов или печати на сетевых принтерах), запуске различных служб и заданий планировщика и т.д. Т.е. очень много лишний событий, которые не относятся ко входу локального пользователя. Чтобы выбрать только события интерактивного входа пользователя на консоль компьютера, нужно дополнительно сделать выборку по значению параметра Logon Type. В таблице ниже перечислены коды Logon Type.
Код Logon Type | Описание |
---|---|
0 | System |
2 | Interactive |
3 | Network |
4 | Batch |
5 | Service |
6 | Proxy |
7 | Unlock |
8 | NetworkCleartext |
9 | NewCredentials |
10 | RemoteInteractive |
11 | CachedInteractive |
12 | CachedRemoteInteractive |
13 | CachedUnlock |
При удаленном подключении к рабочему столу компьютера по RDP, в журнале событий появится записи с Logon Type 10 или 3. Подробнее об анализе RDP логов в Windows.
В соответствии с этой таблицей событие локального входа пользователя на компьютер должно содержать Logon Type: 2.
Для фильтрации события входа по содержать Logon Type лучше использовать PowerShell.
Анализ событий входа пользователей в Windows с помощью PowerShell
Допустим, наша задача получить информацию о том, какие пользователи входили на этот компьютер за последнее время. Нам интересует именно события интерактивного входа (через консоль) с
LogonType =2
. Для выбора события из журналов Event Viewer мы воспользуемся командлетом Get-WinEvent.
Следующий PowerShell скрипт выведет история входа пользователей на текущий компьютер и представит ее в виде графической таблицы Out-GridView.
$query = @'
<QueryList>
<Query Id='0' Path='Security'>
<Select Path='Security'>
*[System[EventID='4624']
and(
EventData[Data[@Name='VirtualAccount']='%%1843']
and
EventData[Data[@Name='LogonType']='2']
)
]
</Select>
</Query>
</QueryList>
'@
$properties = @(
@{n='User';e={$_.Properties[5].Value}},
@{n='Domain';e={$_.Properties[6].Value}},
@{n='TimeStamp';e={$_.TimeCreated}}
@{n='LogonType';e={$_.Properties[8].Value}}
)
Get-WinEvent -FilterXml $query | Select-Object $properties|Out-GridView
Если нужно выбрать события входа за последние несколько дней, можно добавить pipe с таким условием:
|Where-Object {$_.TimeStamp -gt '5/10/22'}
Командлет Get-WinEvent позволяет получить информацию с удаленных компьютеров. Например, чтобы получить историю входов с двух компьютеров, выполните следующий скрипт:
'msk-comp1', 'msk-comp2' |
ForEach-Object {
Get-WinEvent -ComputerName $_ -FilterXml $query | Select-Object $properties
}
Если протокол RPC закрыт между компьютерами, вы можете получить данные с удаленных компьютеров с помощью PowerShell Remoting командлета Invoke-Command:
Invoke-Command -ComputerName 'msk-comp1', 'msk-comp2' {Get-WinEvent -FilterXml $query | Select-Object $properties}
Когда пользователь входит в ваш компьютер, его информация сохраняется, и их данные можно легко найти. В этом посте мы поговорим о том, как проверить историю входа пользователей в Windows 11/10.
Ниже приведены шаги для проверки истории входа пользователей в Windows 11/10.
- Открыть программу просмотра событий
- Перейти к истории входа
- Ищите логин пользователя
- Получите их детали.
Поговорим о них подробнее.
1]Открыть средство просмотра событий
Есть много способов открыть Просмотрщик событий. Вы можете либо найти его в Стартовое меню или ударить Win + R чтобы открыть «Выполнить», введите «eventvwr.msc» и нажмите «ОК».
2]Перейти к истории входа
После запуска Even Viewer вам необходимо развернуть Журналы Windows и нажать Безопасность, чтобы перейти к истории входа в систему.
3]Ищите логин пользователя
Вы увидите список различных событий, отсортированных по Дата / время. Но вам нужно найти идентификатор события 4624, который на самом деле является идентификатором события для входа пользователя. Если вы видите несколько событий с идентификатором 4624, это означает, что существует несколько учетных записей.
4]Узнайте их подробности
Чтобы получить их подробную информацию, вам нужно выбрать конкретную, из которых вы хотите узнать подробности. Теперь нажмите «Подробности», и вы увидите информацию о логине пользователя.
Надеюсь, вы сможете извлечь всю необходимую информацию о входе в систему.
Как применить фильтр, чтобы уточнить данные для входа в систему?
Если вы чувствуете, что существует много избыточной информации, и хотите применить фильтр, чтобы просто получить информацию о событии с идентификатором 4625, вам необходимо следовать данной информации.
- В Even Viewer щелкните правой кнопкой мыши на Пользовательский вид, и выберите Создать собственный вид.
- Отметьте по журналу и выберите Безопасность из раскрывающегося меню.
- Заменять <Все идентификаторы событий> с 4624.
- Щелкните ОК.
- Вас могут попросить дать ему имя, сделайте это и нажмите ОК.
Теперь вы можете видеть отфильтрованную информацию.
Как включить политику аудита входа в систему для отслеживания истории входа пользователей
В большинстве случаев эта политика включена по умолчанию, но есть некоторые пользователи, которые жаловались на то, что не могут видеть историю входа пользователей в систему из-за того, что политика отключена. Проблема сохраняется в Pro-версиях Windows 11 и 10 и, следовательно, требует включения политики вручную.
Для этого откройте редактор групповой политики из меню «Пуск» и перейдите в следующее место.
Конфигурация компьютера> Параметры Windows> Параметры безопасности> Локальные политики> Политика аудита
Дважды щелкните на Аудит событий входа в систему и отметьте оба Успех а также Отказ на вкладке Local Security Setting. И нажмите ОК.
После этого перезагрузите компьютер, и вы сможете отслеживать историю входа в систему.
Читать далее:
.
Содержание
- 1 Как посмотреть когда последний раз включали компьютер
- 2 Как посмотреть время последнего входа в систему
- 3 Как узнать кто включал мой компьютер?
- 4 Способы узнать, когда включался компьютер
Многим пользователям интересно пользуется их компьютером кто-либо ещё во время их отсутствия. Именно по этой причине возникает вопрос как узнать когда последний раз включали компьютер. Сейчас всё же существует несколько способов просмотра последнего времени включения компьютера. В пользователя есть возможность включить отображение при входе сведений о предыдущих попытках входа.
Данная статья расскажет как узнать когда последний раз включали компьютер. Все способы будут показываться на примере последней версии операционной системы Windows 10. А также использоваться для просмотра последнего раза включения компьютера будут только средства самой операционной системы. Так как при необходимости пользователи с легкостью могут загрузить программное обеспечение сторонних разработчиков.
Как посмотреть когда последний раз включали компьютер
Когда последний раз включали и выключали компьютер можно посмотреть в журнале событий Windows 10. Журнал событий в свою очередь позволяет пользователю дополнительно посмотреть все события происходящие в операционной системе Windows 10. Зачастую просмотр событий используется для обнаружения проблем вызывающих сбои в работе системы.
- Откройте журнал событий выполнив команду eventvwr.msc в окне Win+R.
- Перейдите в раздел Журналы Windows > Система, и нажмите кнопку Фильтр текущего журнала…
- В открывшемся окне в пункте Источник событий установите значение Winlogon, и примените фильтр нажав ОК.
Событие от источника Winlogon отправляет уведомление о входе пользователя для программы улучшения качества программного обеспечения. После применения фильтра в результатах можно посмотреть не только время последнего включения компьютера, но и узнать время завершения работы Windows 10.
Пользователю достаточно посмотреть по порядку данные представленные в окне. Первыми будут отображены дата и время включения, вторыми дата и время последнего выключения компьютера.
Как посмотреть время последнего входа в систему
В пользователя есть возможность включить вывод сообщений о времени последнего включения компьютера. При следующих включениях компьютера пользователю будут выводиться данные содержащие время последнего включения компьютера. А также можно будут показаны все неудачные попытки авторизации под Вашей учетной записью.
Включить вывод сведений последнего времени входа в систему можно с помощью редакторов локальной групповой политики или реестра. В любом из случаев лучше ранее создать резервную копию Windows 10. Во время созданная резервная копия позволяет в любой момент откатить последние изменения в операционной системе.
Редактор групповой политики
Редактор позволяет вносить изменения в групповой политике операционной системы Windows 10. Открыть редактор локальной групповой политики есть возможность в Корпоративной и Профессиональной редакциях Windows 10.
- Откройте редактор групповой политики выполнив команду gpedit.msc в окне Win+R.
- Перейдите в раздел: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Параметры входа Windows.
- Измените значение параметра Отображать при входе пользователя сведения о предыдущих попытках входа на Включено.
Собственно этот параметр политики и определяет, будет ли компьютер при входе пользователя отображать сведения о предыдущих удачных и неудачных попытках входа. По умолчанию данные о предыдущих попытках авторизации не выводятся.
Редактор реестра
Перед внесением изменений в реестре рекомендуем создать резервную копию реестра Windows 10. При неправильном изменении данных реестра у Вас всегда будет возможность быстро откатить последние изменения. Для вывода сведений о предыдущих попытках входа придется уже самому создать параметр реестра. В результате чего будут выводиться сведения, так же как и после изменения групповой политики.
- Откройте редактор реестра выполнив команду regedit в окне Win+R.
- Перейдите в раздел: HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Policies System.
- В текущем расположении создайте параметр DWORD (32-бита) с именем DisplayLastLogonInfo, значение которого укажите 1.
После использования любого из способов включения вывода сведений последнего времени входа в систему необходимо выполнить перезагрузку компьютера. При следующих включениях уже можно будет узнать когда последний раз включали компьютер.
Заключение
Способы представленные многими специалистами с выполнением одной команды уже к сожалению не работаю в актуальной версии операционной системы Windows 10. Пользователи так могут только узнать время работы компьютера Windows 10. Чтобы узнать когда последний раз включали компьютер нужно воспользоваться окном просмотра событий или включить вывод сведений при авторизации пользователя.
Приветствую Вас, уважаемые читатели! Совсем недавно мне на E-mail пришло сообщение от одного пользователя. Пользователь задал мне такой вопрос: Как узнать когда включали компьютер сотрудники во время моего отсутствия на рабочем месте?
Чтобы подробно ответить на данный вопрос, я решил написать пост на данную тему. Когда Вы включаете компьютер, то с этого момента начинается запись действий выполняемых за компьютером. А точнее говоря, осуществляется запись «лог событий», в котором указывается дата и время конкретной совершаемой операции, а также записываются запущенные процессы операционной системы.
Как узнать кто включал мой компьютер?
Итак, давайте откроем этот журнал событий. Нажимаете на «Пуск» и в строке поиска вводите – «Просмотр событий».
В результате откроется главное окно «Просмотр событий», в котором нам нужно будет перейти по ссылке «Журналы Windows => Система».
В следующем окне откроется окно событий, состоящее из таблицы, в которой, как Вы видите, отображается дата и время, а также код события, категория.
Глядя на эту таблицу можно определить, когда производилось включение и выключение компьютера. Например, 09 сентября я выключил компьютер, и следующее включение производилось мною уже 10 сентября. То есть, в мое отсутствие компьютером никто не пользовался.
Вот таким простым способом можно определить, когда включали и выключали Ваш компьютер. А Вы уважаемые читатели, знаете еще какие-нибудь способы определение включение компьютера в ваше отсутствие? Буду рад услышать в комментариях.
На этом у меня все. Теперь Вы будите в курсе — Как узнать когда включали компьютер.
В следующей статье расскажу Вам => Как поставить пароль на флешку?
Уважаемые пользователи, если у вас после прочтения этой статьи возникли вопросы или вы желаете что-то добавить относительно тематики данной статьи или всего интернет-ресурса в целом, то вы можете воспользоваться формой комментарий.Также Задавайте свои вопросы, предложения, пожелания..
Итак, на сегодня это собственно все, о чем я хотел вам рассказать в сегодняшнем выпуске. Мне остается надеяться, что вы нашли интересную и полезную для себя информацию в этой статье. Ну а я в свою очередь, жду ваши вопросы, пожелания или предложения относительно данной статьи или всего сайта в целом
В век информационных технологий одной из важнейших задач для человека становится защита информации. Компьютеры настолько плотно вошли в нашу жизнь, что им доверяется самое ценное. Чтобы защитить свои данные, придумываются разные пароли, верификации, шифрование и прочие методы защиты. Но стопроцентной гарантии от их хищения не может дать никто. Одним из проявлений беспокойства о целостности своей информации является то, что все больше пользователей желают знать, не включался ли их ПК во то время, когда они отсутствовали. И это не какие-нибудь параноидальные проявления, а жизненная необходимость — от желания проконтролировать время нахождения за компьютером ребенка до попыток уличить в недобросовестности коллег, работающих в одном офисе. Поэтому этот вопрос заслуживает более детального рассмотрения.
Способы узнать, когда включался компьютер
Существует несколько способов узнать, когда компьютер включался последний раз. Это можно сделать как средствами, предусмотренными в операционной системе, так и с помощью программного обеспечения сторонних производителей. Остановимся на них подробнее.
Способ 1: Командная строка
Этот способ является простейшим из всех и не потребует от пользователя каких-либо особых ухищрений. Все делается в два шага:
- Открыть командную строку любым удобным для пользователя способом, например, вызвав с помощью комбинации «Win+R» окно запуска программ и введя там команду
cmd
. - Ввести в строке команду
systeminfo
.
Результатом выполнения команды будет вывод на экран полной и информации о системе. Для получения интересующих нас сведений следует обратить внимание на строку «Время загрузки системы». Сведения, содержащиеся в ней, и будут временем последнего включения компьютера, не считая текущей сессии. Сопоставив их с временем своей работы за ПК, пользователь легко сможет определить, включал ли его кто-нибудь посторонний, или нет.
Пользователям, у которых установлена Windows 8 (8.1), или Windows 10, следует иметь в виду, что полученные таким образом данные отображают сведения о реальном включении компьютера, а не о выводе его из состояния гибернации. Поэтому для того чтобы получать неискаженную информацию, необходимо выключать его полностью через командную строку.
Подробнее: Как выключить компьютер через командную строку
Способ 2: Журнал событий
Узнать много интересного о том, что происходит в системе, можно из журнала событий, который ведется автоматически во всех версиях Windows. Чтобы попасть туда, необходимо сделать следующее:
- Правым кликом по иконке «Мой компьютер» открыть окно управления компьютером. Тем пользователям, для кого способ появления на рабочем столе системных ярлыков остался тайной, или которые просто предпочитают чистый рабочий стол, можно воспользоваться строкой поиска Windows. Там нужно ввести фразу «Просмотр событий» и перейти по появившейся ссылке в результате поиска.
- В окне управления перейти к журналам Виндовс в «Система».
- В окне справа перейти к настройкам фильтра, чтобы скрыть ненужную информацию.
- В настройках фильтра журнала событий в параметре «Источник событий» установить значение «Winlogon».
В результате произведенных действий в центральной части окна журнала событий появятся данные о времени всех входов и выходов из системы. Проанализировав эти данные, можно легко установить, включал ли компьютер кто-нибудь посторонний.
Способ 3: Локальные групповые политики
Возможность вывода сообщения о времени последнего включения компьютера предусмотрена в настройках групповых политик. Но по умолчанию этот параметр отключен. Чтобы задействовать его, нужно сделать следующее:
- В строке запуска программ набрать команду
gpedit.msc
. - После того как откроется редактор, последовательно открыть разделы так, как показано на скриншоте:
- Перейти к «Отображать при входе пользователя сведения о предыдущих попытках входа» и открыть двойным щелчком.
- Установить значение параметра в позицию «Включено».
В результате произведенных настроек, при каждом включении компьютера будет отображаться сообщение такого типа: Плюсом данного метода является то, что кроме мониторинга успешного старта, будет выводиться информация о тех действиях по входу, которые закончились неудачей, что позволит узнать о том, что кто-то пытается подобрать пароль к учетной записи.
Редактор групповых политик присутствует только в полных версиях Windows 7, 8 (8.1), 10. В домашних базовых и Pro версиях настроить вывод сообщений о времени включения компьютера с помощью данного способа нельзя.
Способ 4: Реестр
В отличие от предыдущего, данный способ работает во всех редакциях операционных систем. Но при его использовании следует быть предельно внимательным, чтобы не допустить ошибку и случайно не испортить что-нибудь в системе.
Для того чтобы при запуске компьютера выводилось сообщение о его предыдущих включениях, необходимо:
- Открыть реестр, введя в строке запуска программ команду
regedit
. - Перейти к разделу
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Policies System
- С помощью правого клика мышкой по свободной области справа, создать новый 32-битный параметр DWORD. Создавать нужно именно 32-битный параметр, даже если установлена 64-битная Windows.
- Присвоить созданному элементу название DisplayLastLogonInfo.
- Открыть вновь созданный элемент и установить его значение равным единице.
Теперь при каждом старте система будет выводить точно такое же сообщение о времени предыдущего включения компьютера, как и описанное в предыдущем способе.
Способ 5: TurnedOnTimesView
Пользователи, которые не хотят копаться в запутанных системных настройках с риском повредить систему, для получения информации о времени последнего включения компьютера могут воспользоваться утилитой стороннего разработчика TurnedOnTimesView. По своей сути она представляет собой очень упрощенный журнал событий, где отображаются только те из них, которые касаются включения/выключения и перезагрузки компьютера.
Скачать TurnedOnTimesView
Утилита очень проста в использовании. Достаточно только распаковать скачанный архив и запустить исполняемый файл, как на экран будет выведена вся необходимая информация. По умолчанию русскоязычный интерфейс в утилите отсутствует, но на сайте производителя можно дополнительно скачать нужный языковой пакет. Программа распространяется абсолютно бесплатно.
Вот и все основные способы, с помощью которых можно узнать, когда компьютер включали в последний раз. Какой из них предпочтительнее — решать самому пользователю. Мы рады, что смогли помочь Вам в решении проблемы.Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.
Помогла ли вам эта статья?
Используемые источники:
- https://windd.ru/kak-uznat-kogda-poslednij-raz-vklyuchali-kompyuter/
- http://temowind.ru/bezopasnost-windows-7/kak-uznat-kogda-vklyuchali-kompyuter/
- https://lumpics.ru/how-to-find-out-when-the-computer-was-last-turned-on/
Многим пользователям интересно пользуется их компьютером кто-либо ещё во время их отсутствия. Именно по этой причине возникает вопрос как узнать когда последний раз включали компьютер. Сейчас всё же существует несколько способов просмотра последнего времени включения компьютера. В пользователя есть возможность включить отображение при входе сведений о предыдущих попытках входа.
Данная статья расскажет как узнать когда последний раз включали компьютер. Все способы будут показываться на примере последней версии операционной системы Windows 10. А также использоваться для просмотра последнего раза включения компьютера будут только средства самой операционной системы. Так как при необходимости пользователи с легкостью могут загрузить программное обеспечение сторонних разработчиков.
Как посмотреть когда последний раз включали компьютер
Когда последний раз включали и выключали компьютер можно посмотреть в журнале событий Windows 10. Журнал событий в свою очередь позволяет пользователю дополнительно посмотреть все события происходящие в операционной системе Windows 10. Зачастую просмотр событий используется для обнаружения проблем вызывающих сбои в работе системы.
- Откройте журнал событий выполнив команду eventvwr.msc в окне Win+R.
- Перейдите в раздел Журналы Windows > Система, и нажмите кнопку Фильтр текущего журнала…
- В открывшемся окне в пункте Источник событий установите значение Winlogon, и примените фильтр нажав ОК.
Событие от источника Winlogon отправляет уведомление о входе пользователя для программы улучшения качества программного обеспечения. После применения фильтра в результатах можно посмотреть не только время последнего включения компьютера, но и узнать время завершения работы Windows 10.
Пользователю достаточно посмотреть по порядку данные представленные в окне. Первыми будут отображены дата и время включения, вторыми дата и время последнего выключения компьютера.
Как посмотреть время последнего входа в систему
В пользователя есть возможность включить вывод сообщений о времени последнего включения компьютера. При следующих включениях компьютера пользователю будут выводиться данные содержащие время последнего включения компьютера. А также можно будут показаны все неудачные попытки авторизации под Вашей учетной записью.
Включить вывод сведений последнего времени входа в систему можно с помощью редакторов локальной групповой политики или реестра. В любом из случаев лучше ранее создать резервную копию Windows 10. Во время созданная резервная копия позволяет в любой момент откатить последние изменения в операционной системе.
Редактор групповой политики
Редактор позволяет вносить изменения в групповой политике операционной системы Windows 10. Открыть редактор локальной групповой политики есть возможность в Корпоративной и Профессиональной редакциях Windows 10.
- Откройте редактор групповой политики выполнив команду gpedit.msc в окне Win+R.
- Перейдите в раздел: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Параметры входа Windows.
- Измените значение параметра Отображать при входе пользователя сведения о предыдущих попытках входа на Включено.
Собственно этот параметр политики и определяет, будет ли компьютер при входе пользователя отображать сведения о предыдущих удачных и неудачных попытках входа. По умолчанию данные о предыдущих попытках авторизации не выводятся.
Редактор реестра
Перед внесением изменений в реестре рекомендуем создать резервную копию реестра Windows 10. При неправильном изменении данных реестра у Вас всегда будет возможность быстро откатить последние изменения. Для вывода сведений о предыдущих попытках входа придется уже самому создать параметр реестра. В результате чего будут выводиться сведения, так же как и после изменения групповой политики.
- Откройте редактор реестра выполнив команду regedit в окне Win+R.
- Перейдите в раздел: HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Policies System.
- В текущем расположении создайте параметр DWORD (32-бита) с именем DisplayLastLogonInfo, значение которого укажите 1.
После использования любого из способов включения вывода сведений последнего времени входа в систему необходимо выполнить перезагрузку компьютера. При следующих включениях уже можно будет узнать когда последний раз включали компьютер.
Заключение
Способы представленные многими специалистами с выполнением одной команды уже к сожалению не работаю в актуальной версии операционной системы Windows 10. Пользователи так могут только узнать время работы компьютера Windows 10. Чтобы узнать когда последний раз включали компьютер нужно воспользоваться окном просмотра событий или включить вывод сведений при авторизации пользователя.
(2 оценок, среднее: 5,00 из 5)
Администратор и основатель проекта Windd.ru. Интересуюсь всеми новыми технологиями. Знаю толк в правильной сборке ПК. Участник программы предварительной оценки Windows Insider Preview. Могу с лёгкостью подобрать комплектующие с учётом соотношения цены — качества. Мой Компьютер: AMD Ryzen 5 3600 | MSI B450 Gaming Plus MAX | ASUS STRIX RX580 8GB GAMING | V-COLOR 16GB Skywalker PRISM RGB (2х8GB).
Вы когда-нибудь хотели контролировать, кто входит в ваш компьютер и когда? В профессиональных выпусках Windows вы можете включить аудит входа в систему, чтобы запись всех входов в Windows.
Аудит входов в систему отслеживает как локальных пользователей, так и сетевые учетные записи. Каждое событие входа указывает учетную запись пользователя, с помощью которой происходила авторизация. Вы также можете увидеть, когда пользователи вышли из системы.
Примечание. Аудит входа в систему работает только в профессиональной версии Windows, поэтому вы не можете использовать это, если у вас домашняя версия. Это должно работать на Windows 7, 8 и Windows 10. Мы рассмотрим Windows 10 в этой статье. В других версиях экраны могут выглядеть немного иначе, но этот процесс почти такой же.
Как включить аудит входа в систему
Чтобы включить аудит входа в систему, мы будем использовать редактор локальных групповых политик. Это довольно мощный инструмент, поэтому, если вы никогда не использовали его раньше, стоит потратить некоторое время на его изучение. Кроме того, если ваш компьютер подключен к сети компаний, сначала Вам придётся обратиться за разрешением к администратору. Если ваш рабочий компьютер является частью домена, также вероятно, что это часть политики группы доменов, которая в любом случае заменит политику локальной группы.
Чтобы открыть редактор локальной групповой политики, нажмите Win + R, введите gpedit.msc и нажмите Enter.
В редакторе локальных групповых политик в левой панели перейдите к политике Локального компьютера → Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Политика аудита. В правой панели дважды щелкните параметр «Аудит входа в систему».
В открывшемся окне свойств включите параметр «Успех» для успешной попытки входа в систему Windows. Включите параметр «Сбой», если вы также хотите, чтобы Windows регистрировала неудачные попытки входа в систему. Нажмите кнопку ОК, когда закончите.
Теперь вы можете закрыть окно редактора локальной групповой политики.
Просмотр событий входа в систему
После включения аудита входа Windows записывает события входа в систему вместе с именем пользователя и меткой времени в журнале безопасности. Вы можете просмотреть эти события, используя Event Viewer.
Нажмите значок поиска рядом с меню «Пуск», введите «Просмотр событий» и нажмите соответствующий результат в окне поиска.
В окне «Просмотр событий» в левой панели перейдите в раздел «Журналы Windows» → «Безопасность».
В центральной панели вы, вероятно, увидите ряд событий «Аудит успеха». Windows регистрирует отдельные сведения о таких вещах, как предоставление своих привилегий проверенным аккаунтом. Вам нужной найти события с идентификатором 4624 – они представляют собой успешные события входа в систему. Вы можете увидеть подробности о выбранном событии в нижней части этой средней панели, а также можете дважды щелкнуть событие, увидев его данные в отдельном окне.
Если Вы перейдёте к деталям, то сможете увидеть такую информацию, как имя учетной записи пользователя.
Поскольку это ещё одно событие в журнале событий Windows с определенным идентификатором события, вы также можете использовать планировщик заданий для принятия действий при входе в систему. Вы даже можете отправить сообщение на электронную почту, когда кто-то войдет в систему Windows.
Содержание
- Способы узнать, когда включался компьютер
- Способ 1: Командная строка
- Способ 2: Журнал событий
- Способ 3: Локальные групповые политики
- Способ 4: Реестр
- Способ 5: TurnedOnTimesView
- Вопросы и ответы
В век информационных технологий одной из важнейших задач для человека становится защита информации. Компьютеры настолько плотно вошли в нашу жизнь, что им доверяется самое ценное. Чтобы защитить свои данные, придумываются разные пароли, верификации, шифрование и прочие методы защиты. Но стопроцентной гарантии от их хищения не может дать никто.
Одним из проявлений беспокойства о целостности своей информации является то, что все больше пользователей желают знать, не включался ли их ПК во то время, когда они отсутствовали. И это не какие-нибудь параноидальные проявления, а жизненная необходимость — от желания проконтролировать время нахождения за компьютером ребенка до попыток уличить в недобросовестности коллег, работающих в одном офисе. Поэтому этот вопрос заслуживает более детального рассмотрения.
Способы узнать, когда включался компьютер
Существует несколько способов узнать, когда компьютер включался последний раз. Это можно сделать как средствами, предусмотренными в операционной системе, так и с помощью программного обеспечения сторонних производителей. Остановимся на них подробнее.
Способ 1: Командная строка
Этот способ является простейшим из всех и не потребует от пользователя каких-либо особых ухищрений. Все делается в два шага:
- Открыть командную строку любым удобным для пользователя способом, например, вызвав с помощью комбинации «Win+R» окно запуска программ и введя там команду
cmd
.
- Ввести в строке команду
systeminfo
.
Результатом выполнения команды будет вывод на экран полной и информации о системе. Для получения интересующих нас сведений следует обратить внимание на строку «Время загрузки системы».
Сведения, содержащиеся в ней, и будут временем последнего включения компьютера, не считая текущей сессии. Сопоставив их с временем своей работы за ПК, пользователь легко сможет определить, включал ли его кто-нибудь посторонний, или нет.
Пользователям, у которых установлена Windows 8 (8.1), или Windows 10, следует иметь в виду, что полученные таким образом данные отображают сведения о реальном включении компьютера, а не о выводе его из состояния гибернации. Поэтому для того чтобы получать неискаженную информацию, необходимо выключать его полностью через командную строку.
Подробнее: Как выключить компьютер через командную строку
Способ 2: Журнал событий
Узнать много интересного о том, что происходит в системе, можно из журнала событий, который ведется автоматически во всех версиях Windows. Чтобы попасть туда, необходимо сделать следующее:
- Правым кликом по иконке «Мой компьютер» открыть окно управления компьютером.
Тем пользователям, для кого способ появления на рабочем столе системных ярлыков остался тайной, или которые просто предпочитают чистый рабочий стол, можно воспользоваться строкой поиска Windows. Там нужно ввести фразу «Просмотр событий» и перейти по появившейся ссылке в результате поиска.
- В окне управления перейти к журналам Виндовс в «Система».
- В окне справа перейти к настройкам фильтра, чтобы скрыть ненужную информацию.
- В настройках фильтра журнала событий в параметре «Источник событий» установить значение «Winlogon».
В результате произведенных действий в центральной части окна журнала событий появятся данные о времени всех входов и выходов из системы.
Проанализировав эти данные, можно легко установить, включал ли компьютер кто-нибудь посторонний.
Способ 3: Локальные групповые политики
Возможность вывода сообщения о времени последнего включения компьютера предусмотрена в настройках групповых политик. Но по умолчанию этот параметр отключен. Чтобы задействовать его, нужно сделать следующее:
- В строке запуска программ набрать команду
gpedit.msc
.
- После того как откроется редактор, последовательно открыть разделы так, как показано на скриншоте:
- Перейти к «Отображать при входе пользователя сведения о предыдущих попытках входа» и открыть двойным щелчком.
- Установить значение параметра в позицию «Включено».
В результате произведенных настроек, при каждом включении компьютера будет отображаться сообщение такого типа:
Плюсом данного метода является то, что кроме мониторинга успешного старта, будет выводиться информация о тех действиях по входу, которые закончились неудачей, что позволит узнать о том, что кто-то пытается подобрать пароль к учетной записи.
Редактор групповых политик присутствует только в полных версиях Windows 7, 8 (8.1), 10. В домашних базовых и Pro версиях настроить вывод сообщений о времени включения компьютера с помощью данного способа нельзя.
Способ 4: Реестр
В отличие от предыдущего, данный способ работает во всех редакциях операционных систем. Но при его использовании следует быть предельно внимательным, чтобы не допустить ошибку и случайно не испортить что-нибудь в системе.
Для того чтобы при запуске компьютера выводилось сообщение о его предыдущих включениях, необходимо:
- Открыть реестр, введя в строке запуска программ команду
regedit
.
- Перейти к разделу
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Policies System
- С помощью правого клика мышкой по свободной области справа, создать новый 32-битный параметр DWORD.
Создавать нужно именно 32-битный параметр, даже если установлена 64-битная Windows. - Присвоить созданному элементу название DisplayLastLogonInfo.
- Открыть вновь созданный элемент и установить его значение равным единице.
Теперь при каждом старте система будет выводить точно такое же сообщение о времени предыдущего включения компьютера, как и описанное в предыдущем способе.
Способ 5: TurnedOnTimesView
Пользователи, которые не хотят копаться в запутанных системных настройках с риском повредить систему, для получения информации о времени последнего включения компьютера могут воспользоваться утилитой стороннего разработчика TurnedOnTimesView. По своей сути она представляет собой очень упрощенный журнал событий, где отображаются только те из них, которые касаются включения/выключения и перезагрузки компьютера.
Скачать TurnedOnTimesView
Утилита очень проста в использовании. Достаточно только распаковать скачанный архив и запустить исполняемый файл, как на экран будет выведена вся необходимая информация.
По умолчанию русскоязычный интерфейс в утилите отсутствует, но на сайте производителя можно дополнительно скачать нужный языковой пакет. Программа распространяется абсолютно бесплатно.
Вот и все основные способы, с помощью которых можно узнать, когда компьютер включали в последний раз. Какой из них предпочтительнее — решать самому пользователю.
Главная » Уроки и статьи » Windows
Нередки случаи, когда компьютером пользуется несколько человек. В таком случае, в целях безопасности будет не лишним получить информацию о входе и включении устройства. Однако, к сожалению, сделать это не так уж и просто. Здесь будут приведены два эффективных метода, каждый из которых имеет свои особенности.
Реестр
Чтобы узнать, когда последний раз осуществлялся вход в Windows 10, большинство людей прибегают к помощи реестра: в нем можно включить одну полезную функцию. Главное преимущество способа заключается в его доступности. Важно учитывать, что удаление, добавление, а также изменение других параметров и разделов может привести к большим проблемам. Поэтому рекомендуется строго придерживаться инструкции:
- Требуется открыть редактор (Win+R, после чего ввод команды «regedit» в единственную доступную строку).
- Перейти в папку «System» (как туда попасть, показано на изображении ниже). Для этого нужно нажимать на папки, которые расположены слева.
- Создать параметр DWORD. Чтобы это сделать, следует кликнуть ПКМ по правой части окна, после чего найти соответствующий пункт. Как это выглядит, можно увидеть на скриншоте:
- Потребуется указать название. В качестве имени следует использовать «DisplayLastLogonInfo» (без кавычек).
- По данному параметру нужно дважды кликнуть ЛКМ, чтобы открыть его настройки.
- В значении нужно заменить 0 на 1, после чего нажать на «ОК».
После перезагрузки можно будет сразу увидеть изменения: при входе будет показываться сообщение. В нем указывается время и дата предыдущего входа в систему, а также информация о неудавшихся попытках.
Локальная групповая политика
Этот метод хорош тем, что он легче в освоении. Кроме того, такой вариант можно считать безопасным, в отличие от предыдущего. По этой причине он предпочтителен для начинающих владельцев ПК. Однако есть и одно довольно серьезное «но»: редактор не работает при редакции Home.
Необходимо одновременно нажать клавиши Win и R, а затем скопировать и вставить «gpedit.msc». Далее в редакторе потребуется перейти по следующему адресу:
Справа будет перечень параметров. Нужно найти следующий (в зависимости от версии ОС его расположение в списке может немного варьироваться):
Необходимо дважды кликнуть по нему ЛКМ. В открывшемся окне слева сверху можно заметить надпись «Включено». Именно она отвечает за активацию, поэтому требуется просто поставить около нее галочку и нажать на кнопку «ОК», чтобы сохранить изменения.
Таким образом, чтобы посмотреть информацию о входах в Windows 10, нужно активировать специальную функцию. Сделать это можно с помощью указанных выше способов. При этом новичкам настоятельно рекомендуется воспользоваться именно вторым вариантом, если есть такая возможность.
Понравилось? Поделись с друзьями!
Дата: 16.09.2021
Автор/Переводчик: Wolf
Когда компьютер или ноутбук долго находится в бездействии, а владелец не может получить доступ к устройству, хозяин наверняка будет думать о том, не пользуется ли его ПК посторонний человек. Определить, так ли это на самом деле, можно, посмотрев последнее время входа в ОС. И на сегодняшний момент известно несколько способов, как посмотреть, когда включался компьютер на операционной системе Windows 10.
Как узнать, когда был включен ПК, с помощью Командной строки
Первый вариант проверки начала работы компьютера подразумевает использование встроенных средств системы, а именно интерфейса Командной строки.
В данном случае предлагается обратиться к следующей инструкции:
- Одновременно нажмите клавиши «Win» + «R».
- Введите запрос «cmd» и нажмите кнопку «ОК»
- Укажите в КС команду «systeminfo».
- Подтвердите ввод запроса нажатием клавиши «Enter».
После выполнения указанных действий на экране компьютера появится информация, содержащая, в числе прочего, время загрузки системы с точностью до секунды. Также здесь представлена дата входа.
Важно. Не путайте время начала работы со временем выхода из гибернации (сна). Предлагаемая информация указывает лишь на то, когда компьютер был включен, а не выведен из спящего режима.
Просмотр в Диспетчере задач
Еще один и, возможно, наиболее простой способ узнать время включения ПК – обратиться к Диспетчеру задач. Правда, в таком случае вы получите информацию о том, сколько часов, минут и секунд компьютер находится в активном состоянии. То есть здесь указывается продолжительность работы устройства, а не время его запуска.
Для получения нужной информации сделайте следующее:
- Одновременно нажмите клавиши «Ctrl» + «Shift» + «Enter» для запуска Диспетчера задач.
- Откройте вкладку «Производительность».
- Внимательно изучите окно активности.
Открывшийся интерфейс расскажет об активности процессора. В частности, здесь указано время работы оборудования компьютера. Исходя из полученной информации, можно сделать вывод, когда именно был запущен ПК. Однако для получения точного результата необходимо произвести математические расчеты, что не всегда бывает удобно.
Через Event Viewer
Операционная система Windows 10 располагает интересным интерфейсом, который получил название «Журнал событий». В него заносится информация, связанная с различными действиями ОС. Разумеется, Event Viewer показывает, когда был включен компьютер. Но, в отличие от предыдущих вариантов, для получения необходимых сведений придется воспользоваться довольно сложной инструкцией, где важно не ошибиться:
- Щелкните правой кнопкой мышки по ярлыку «Мой компьютер».
- Откройте «Управление».
- Из представленных вариантов выберите «Просмотр событий».
- Раскрыв одноименную вкладку в интерфейсе управления ПК, перейдите в «Журналы Windows», а затем – «Система».
- Справа вы увидите колонку «Действия», где нужно кликнуть по элементу «Фильтр текущего журнала».
- В графе «Источники событий» установите значение «Winlogon», отметив его галочкой.
- После выполнения указанных шагов в центральной части «Управления» появится время последних запусков компьютера.
Возможно, у вас не получится узнать историю включения. Как правило, это происходит в той ситуации, когда пользователь не может найти необходимую вкладку с Event Viewer. В таком случае рекомендуется обратиться к помощи поисковой строки, чтобы запустить «Просмотр событий» через нее, а не каким-либо другим способом.
Локальные групповые политики
Хороший способ, с точностью показывающий время последнего входа. Для реализации данного варианта стоит воспользоваться простым алгоритмом:
- Откройте окно «Выполнить» путем нажатия клавиш «Win» + «R».
- Укажите запрос «gpedit.msc», а затем подтвердите ввод.
- Перейдите в директорию, расположенную по пути: «Административные шаблоны/Компоненты Windows/Параметры входа Windows».
- В открывшемся окне дважды кликните по заголовку «Отображать при входе пользователя сведения о предыдущих попытках входа».
- Установите значение «Включено».
- Сохраните изменения.
Теперь необходимо перезагрузить компьютер. После повторного включения на экране появится сообщение со временем последнего входа в систему. Так будет происходить всякий раз, пока пользователь не отключит функцию через Редактор групповых политик.
Реестр
Отличный вариант, использующий встроенные средства операционной системы Windows 10. Если предыдущий способ не сработал, то реестр станет альтернативным методом, который функционирует в 100 % случаев, показывая, когда ПК запускался в последний раз:
- Введите запрос «regedit» через «Окно выполнить».
- Перейдите в директорию, расположенную по пути: «HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionPoliciesSystem».
- Находясь в указанной папке, кликните ПКМ.
- Нажмите «Создать», а затем – «Параметр DWORD (32 бита)».
- Присвойте элементу имя «DisplayLastLogonInfo».
- Запустите созданный файл и укажите значение «1».
- Сохраните настройки.
По аналогии с предыдущим вариантом время последнего входа будет отображаться при запуске компьютера. Для отказа от использования функции нужно выставить значение «0».
TurnedOnTimesView
Заключительный способ, позволяющий проверить время последнего запуска ПК, предполагает использование сторонней программы TurnedOnTimesView. Приложение доступно для бесплатного скачивания на официальном сайте разработчика, а после установки владельцу компьютера нужно открыть исполняемый файл и ознакомиться с информацией, показанной на экране.
Даты включений расположены в TurnedOnTimesView в порядке убывания. Последний вход – вверху (имеет желтый значок), а предыдущие включения – ниже (имеют зеленый значок). Помимо времени, приложение показывает продолжительность работы компьютера, исходя из чего можно сделать дополнительные выводы.