Вы когда-нибудь хотели следить за тем, кто и когда входил в систему, установленную на вашем компьютере. На профессиональных изданиях Windows специально для этого существует политика аудита входа, о которой мы сейчас и поговорим.
«Аудит событий входа в систему» отслеживает как локальные, так и сетевые входы. При каждом входе определяется учетная запись пользователя и время, в которое состоялся вход. Также вы сможете узнать, когда пользователь вышел из системы.
Включаем «Аудит входа в систему»
Во-первых, откройте «Редактор локальной групповой политики» – откройте меню «Пуск», в поисковую строку введите gpedit.msc и нажмите Enter.
В левой части окна проследуйте по следующему пути: Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита.
Дважды кликните по политике «Аудит событий входа в систему» в правой части окна. В диалоговом окне «Свойства» отметьте галочкой параметр «Успех» для того, чтобы позволить отслеживание успешных входов в систему. Также вы можете включить параметр «Отказ» – так вы позволите отслеживание неудачных попыток входа.
Просматриваем события входа в систему
После включения этого параметра, Windows начнет регистрировать (в журнал безопасности) все события входа в систему, в том числе имя пользователя и время. Чтобы увидеть эти события, запустите инструмент «Просмотр событий» – откройте меню «Пуск», в строку поиска введите текст «Просмотр событий» и нажмите клавишу Enter.
Далее перейдите в «Журналы Windows» и выберите категорию «Безопасность». Нас интересуют события с кодом 4624 – это события успешного входа в систему.
Чтобы увидеть больше информации, включая имя учетной записи пользователя, входившего в систему, дважды щелкните по событию. Прокручивая вниз текстовое поле, вы увидите всю необходимую информацию.
Если вы хотите, чтобы в журнале безопасности отображались исключительно события входа, нажмите на кнопку «Фильтровать текущий журнал», которая расположена в боковой панели справа и в появившемся окне отфильтруйте события как на скриншоте ниже:
Отличного Вам дня!
При расследовании различных инцидентов администратору необходимо получить информацию кто и когда заходил на определенный компьютер Windows. Историю входов пользователя в доменной сети можно получить из журналов контроллеров домена. Но иногда проще получить информацию непосредсвенно из логов компьютера. В этой статье мы покажем, как получить и проанализировать историю входа пользователей на компьютер/сервер Windows. Такая статистика поможет вам ответить на вопрос “Как в Windows проверить кто и когда использовал этот компьютере”.
Содержание:
- Настройка политики аудита входа пользователей в Windows
- Поиск событий входа пользователей в журнале событий Windows
- Анализ событий входа пользователей в Windows с помощью PowerShell
Настройка политики аудита входа пользователей в Windows
Сначала нужно включить политик аудита входа пользователей. На отдельностоящем компьютере для настройки параметров локальной групповой политики используется оснастка gpedit.msc. Если вы хотите включить политику для компьютеров в домене Active Directorty, нужно использовать редактор доменных GPO (
gpmc.msc
).
- Запустите консоль GPMC, создайте новую GPO и назначьте ее на Organizational Units (OU) с компьютерами и / или серверами, для которых вы хотите включить политику аудита событий входа;
- Откройте объект GPO и перейдите в раздел Computer Configuration -> Policies -> Windows Settings -> Security Settings –> Advanced Audit Policy Configuration -> Audit Policies -> Logon/Logoff;
- Включите две политики аудита Audit Logon и Audit Logoff. Это позволит отслеживать как события входа, так и события выхода пользователей. Если вы хотите отслеживать только успешные события входа, включите в настройках политик только опцию Success;
- Закройте редактор GPO и обновите настройки политик на клиентах.
Поиск событий входа пользователей в журнале событий Windows
После того как вы включили политики аудита входа, при каждом входе пользователя в Windows в журнале Event Viewer будет появляться запись о входе. Посмотрим, как она выглядит.
- Откройте оснастку Event Viewer (
eventvwr.msc
); - Разверните секцию Windows Logs и выберите журнал Security;
- Щелкните по нему правой клавишей и выберите пункт Filter Current Log;
- В поле укажите ID события 4624 и нажмите OK;
- В окне события останутся только события входа пользователей, системных служб с описанием
An account was successfully logged on
; - В описании события указано имя и домен пользователя, вошедшего в систему:
New Logon: Security ID: WINITPROa.khramov Account Name: a.khramov Account Domain: WINITPRO
Ниже перечислены другие полезные EventID:
| Event ID | Описание |
| 4624 | A successful account logon event |
| 4625 | An account failed to log on |
| 4648 | A logon was attempted using explicit credentials |
| 4634 | An account was logged off |
| 4647 | User initiated logoff |
Если полистать журнал событий, можно заметить, что в нем присутствуют не только события входа пользователей на компьютер. Здесь также будут события сетевого доступа к этому компьютеру (при открытии по сети общих файлов или печати на сетевых принтерах), запуске различных служб и заданий планировщика и т.д. Т.е. очень много лишний событий, которые не относятся ко входу локального пользователя. Чтобы выбрать только события интерактивного входа пользователя на консоль компьютера, нужно дополнительно сделать выборку по значению параметра Logon Type. В таблице ниже перечислены коды Logon Type.
| Код Logon Type | Описание |
|---|---|
| 0 | System |
| 2 | Interactive |
| 3 | Network |
| 4 | Batch |
| 5 | Service |
| 6 | Proxy |
| 7 | Unlock |
| 8 | NetworkCleartext |
| 9 | NewCredentials |
| 10 | RemoteInteractive |
| 11 | CachedInteractive |
| 12 | CachedRemoteInteractive |
| 13 | CachedUnlock |
При удаленном подключении к рабочему столу компьютера по RDP, в журнале событий появится записи с Logon Type 10 или 3. Подробнее об анализе RDP логов в Windows.
В соответствии с этой таблицей событие локального входа пользователя на компьютер должно содержать Logon Type: 2.
Для фильтрации события входа по содержать Logon Type лучше использовать PowerShell.
Анализ событий входа пользователей в Windows с помощью PowerShell
Допустим, наша задача получить информацию о том, какие пользователи входили на этот компьютер за последнее время. Нам интересует именно события интерактивного входа (через консоль) с
LogonType =2
. Для выбора события из журналов Event Viewer мы воспользуемся командлетом Get-WinEvent.
Следующий PowerShell скрипт выведет история входа пользователей на текущий компьютер и представит ее в виде графической таблицы Out-GridView.
$query = @'
<QueryList>
<Query Id='0' Path='Security'>
<Select Path='Security'>
*[System[EventID='4624']
and(
EventData[Data[@Name='VirtualAccount']='%%1843']
and
EventData[Data[@Name='LogonType']='2']
)
]
</Select>
</Query>
</QueryList>
'@
$properties = @(
@{n='User';e={$_.Properties[5].Value}},
@{n='Domain';e={$_.Properties[6].Value}},
@{n='TimeStamp';e={$_.TimeCreated}}
@{n='LogonType';e={$_.Properties[8].Value}}
)
Get-WinEvent -FilterXml $query | Select-Object $properties|Out-GridView
Если нужно выбрать события входа за последние несколько дней, можно добавить pipe с таким условием:
|Where-Object {$_.TimeStamp -gt '5/10/22'}
Командлет Get-WinEvent позволяет получить информацию с удаленных компьютеров. Например, чтобы получить историю входов с двух компьютеров, выполните следующий скрипт:
'msk-comp1', 'msk-comp2' |
ForEach-Object {
Get-WinEvent -ComputerName $_ -FilterXml $query | Select-Object $properties
}
Если протокол RPC закрыт между компьютерами, вы можете получить данные с удаленных компьютеров с помощью PowerShell Remoting командлета Invoke-Command:
Invoke-Command -ComputerName 'msk-comp1', 'msk-comp2' {Get-WinEvent -FilterXml $query | Select-Object $properties}
Вы когда-нибудь хотели контролировать, кто входит в ваш компьютер и когда? В профессиональных выпусках Windows вы можете включить аудит входа в систему, чтобы запись всех входов в Windows.
Аудит входов в систему отслеживает как локальных пользователей, так и сетевые учетные записи. Каждое событие входа указывает учетную запись пользователя, с помощью которой происходила авторизация. Вы также можете увидеть, когда пользователи вышли из системы.
Примечание. Аудит входа в систему работает только в профессиональной версии Windows, поэтому вы не можете использовать это, если у вас домашняя версия. Это должно работать на Windows 7, 8 и Windows 10. Мы рассмотрим Windows 10 в этой статье. В других версиях экраны могут выглядеть немного иначе, но этот процесс почти такой же.
Как включить аудит входа в систему
Чтобы включить аудит входа в систему, мы будем использовать редактор локальных групповых политик. Это довольно мощный инструмент, поэтому, если вы никогда не использовали его раньше, стоит потратить некоторое время на его изучение. Кроме того, если ваш компьютер подключен к сети компаний, сначала Вам придётся обратиться за разрешением к администратору. Если ваш рабочий компьютер является частью домена, также вероятно, что это часть политики группы доменов, которая в любом случае заменит политику локальной группы.
Чтобы открыть редактор локальной групповой политики, нажмите Win + R, введите gpedit.msc и нажмите Enter.
В редакторе локальных групповых политик в левой панели перейдите к политике Локального компьютера → Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Политика аудита. В правой панели дважды щелкните параметр «Аудит входа в систему».
В открывшемся окне свойств включите параметр «Успех» для успешной попытки входа в систему Windows. Включите параметр «Сбой», если вы также хотите, чтобы Windows регистрировала неудачные попытки входа в систему. Нажмите кнопку ОК, когда закончите.
Теперь вы можете закрыть окно редактора локальной групповой политики.
Просмотр событий входа в систему
После включения аудита входа Windows записывает события входа в систему вместе с именем пользователя и меткой времени в журнале безопасности. Вы можете просмотреть эти события, используя Event Viewer.
Нажмите значок поиска рядом с меню «Пуск», введите «Просмотр событий» и нажмите соответствующий результат в окне поиска.
В окне «Просмотр событий» в левой панели перейдите в раздел «Журналы Windows» → «Безопасность».
В центральной панели вы, вероятно, увидите ряд событий «Аудит успеха». Windows регистрирует отдельные сведения о таких вещах, как предоставление своих привилегий проверенным аккаунтом. Вам нужной найти события с идентификатором 4624 – они представляют собой успешные события входа в систему. Вы можете увидеть подробности о выбранном событии в нижней части этой средней панели, а также можете дважды щелкнуть событие, увидев его данные в отдельном окне.
Если Вы перейдёте к деталям, то сможете увидеть такую информацию, как имя учетной записи пользователя.
Поскольку это ещё одно событие в журнале событий Windows с определенным идентификатором события, вы также можете использовать планировщик заданий для принятия действий при входе в систему. Вы даже можете отправить сообщение на электронную почту, когда кто-то войдет в систему Windows.
Как посмотреть, кто и когда входил в систему
Вы когда-нибудь хотели следить за тем, кто и когда входил в систему, установленную на вашем компьютере. На профессиональных изданиях Windows специально для этого существует политика аудита входа, о которой мы сейчас и поговорим.
«Аудит событий входа в систему» отслеживает как локальные, так и сетевые входы. При каждом входе определяется учетная запись пользователя и время, в которое состоялся вход. Также вы сможете узнать, когда пользователь вышел из системы.
Включаем «Аудит входа в систему»
Во-первых, откройте «Редактор локальной групповой политики» – откройте меню «Пуск», в поисковую строку введите gpedit.msc и нажмите Enter.
В левой части окна проследуйте по следующему пути: Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита.
Дважды кликните по политике «Аудит событий входа в систему» в правой части окна. В диалоговом окне «Свойства» отметьте галочкой параметр «Успех» для того, чтобы позволить отслеживание успешных входов в систему. Также вы можете включить параметр «Отказ» – так вы позволите отслеживание неудачных попыток входа.
Просматриваем события входа в систему
После включения этого параметра, Windows начнет регистрировать (в журнал безопасности) все события входа в систему, в том числе имя пользователя и время. Чтобы увидеть эти события, запустите инструмент «Просмотр событий» – откройте меню «Пуск», в строку поиска введите текст «Просмотр событий» и нажмите клавишу Enter.
Далее перейдите в «Журналы Windows» и выберите категорию «Безопасность». Нас интересуют события с кодом 4624 – это события успешного входа в систему.
Чтобы увидеть больше информации, включая имя учетной записи пользователя, входившего в систему, дважды щелкните по событию. Прокручивая вниз текстовое поле, вы увидите всю необходимую информацию.
Если вы хотите, чтобы в журнале безопасности отображались исключительно события входа, нажмите на кнопку «Фильтровать текущий журнал», которая расположена в боковой панели справа и в появившемся окне отфильтруйте события как на скриншоте ниже:
кто куда сколько и во сколько , что смотрел что писал
клавиатурный шпиён)), и не какой мороки
Tyr0I{ сказал(а)
Как посмотреть, кто и когда входил в систему
тема зачёт)), я про проще, система всё знать)
pofig13 сказал(а)
Tyr0I{ сказал(а)
Как посмотреть, кто и когда входил в системутема зачёт)), я про проще, система всё знать)
Всё зависит от посещения)
Tyr0I{, мне как то пароли нуна выцепит было ( знакомый ссыкавал за дочь в ВК)
нормально сработала шпиюха
pofig13 сказал(а)
Tyr0I{, мне как то пароли нуна выцепит было ( знакомый ссыкавал за дочь в ВК)
нормально сработала шпиюха
Что вк взламываешь?
Tyr0I{ сказал(а)
Что вк взламываешь?
не я такое не умею
просто прсил на её ноут клавишного поставить, чтоб узнать что в Вк творится у неё,
были проблемы, учится перестала, в голове кавардак
Как посмотреть историю последних действий работы компьютера
На чтение 5 мин Опубликовано 23 мая, 2018
Обновлено 23 мая, 2018
Компьютер ведёт учёт всех действий пользователя. Специалисты ПК знают, как посмотреть историю, какие запускались приложения и файлы, а также всю работу пользователя в интернете. Овладеть этой возможностью могут и начинающие пользователи. Особенно рекомендуются эти знания родителям, которые желают знать, чем занимается их ребёнок на компьютере.
Содержание
- Способы просмотра истории
- Посещение страниц в интернете
- Недавние документы, Корзина и Загрузки
- Просмотр атрибутов файла
- Cобытия в журнале Windows
- Помощь сторонних программ
Способы просмотра истории
Чтобы посмотреть последние действия на компьютере, как раз для этого существуют не только стандартные способы просмотра истории компьютера средствами самой операционной системы, но и специальные — с расширенными возможностями, реализуемые дополнительными программами. Основными способами изучения истории компьютера являются просмотры:
- истории браузера;
- истории работы в интернете, с использованием сервиса от Google;
- объектов «Недавние документы», «Корзина», «Загрузки»;
- атрибутов файла: даты изменения и даты открытия;
- встроенного приложения операционной системы «Журнал Windows».
Для детального анализа работы компьютера используют сторонние программы, имеющие широкие возможности отслеживания действий пользователя.
Посещение страниц в интернете
Отвечая на вопрос, как посмотреть, куда заходили с компьютера, следует отметить, что для этого анализируют историю работы в интернете. Делают это следующим образом:
- Во всех современных браузерах нажатие на комбинацию клавиш Ctrl + H (History) открывает историю работы в интернете. Для облегчения поиска информации, история просмотра сгруппирована по периодам: за прошедший час, за прошедший день, за неделю и за всё время. Там же находится кнопка «Очистить историю».
- Если на компьютере зарегистрирован и по умолчанию активен аккаунт от Google, например, почтовый ящик или пользователь YouTube, то «Гугл» отслеживает любую активность этого профиля. Этот сервис аналогичен истории браузера. Для открытия истории от Google в настройках аккаунта выбирают «Мои действия» или вводят текст «history.google.com» в адресную строку, и на открывшейся странице открывают пункт меню «Показать действия».
Недавние документы, Корзина и Загрузки
Рекомендуется проверить объекты «Недавние документы», «Корзины», «Загрузки», содержание которых иногда преподносит сюрпризы. Для отображения списка «Недавние документы» в Windows 7 необходимо произвести настройку системы:
- Щёлкают правой кнопкой мыши по меню «Пуск» и в контекстном меню выбирают пункт «Свойства».
- В появившемся диалоговом окне «Свойства панели задач и меню «Пуск» выбирают вкладку «Меню Пуск».
- Выбирают кнопку «Настроить», и в открывшемся диалоговом окне ставят галочку напротив пункта меню «Недавние документы».
После проделанных действий в меню «Пуск» появится вкладка «Недавние документы», содержащая список из недавно используемых документов.
Содержателен анализ удалённых файлов, находящихся в «Корзине». Иногда пользователи забывают очищать корзину после работы.
Пользователи смотрят папку «Загрузка», в которую по умолчанию сохраняются скачиваемые файлы. Для просмотра списка загружаемых файлов в браузере нажимают Ctrl + J.
Просмотр атрибутов файла
Интересно узнать, как посмотреть историю на компьютере Windows 7, 8, 10, используя новый атрибут файла, показывающий дату последнего открытия документа. Для просмотра нажимают правой кнопкой мыши по файлу и в открывшемся меню выбирают пункт «Свойства», где даны сведения о создании, изменении и дате последнего открытия документа.
Используя сервис «Поиск» (Win + F) с атрибутом «Дата изменения», ищут все файлы, изменённые за заданную дату:
- Пользователи открывают программу для просмотра файлов «Мой компьютер» или кратко «Компьютер».
- В правом верхнем углу находят текстовое поле «Найти», щёлкают по нему мышкой и в появившемся меню выбирают поиск по «Дате изменения».
- Предлагается поиск как по конкретной дате, так и по диапазону: неделя, за месяц, год.
- Предлагается поиск по размеру файла.
Например, чтобы просмотреть недавно просмотренные фильмы на этом компьютере, нужно:
- В окне поиска установить параметр размера файла: «Гигантские» (больше 128 Мб). В результате будут найдены все «Гигантские» файлы на этом компьютере, среди них будут почти все фильмы.
- Щёлкнуть правой кнопкой мыши по файлам, открывая меню, содержащие сведения даты последнего открытия.
- Если фильмов очень много, то в окне поиска изменить вид просмотра файлов на «Таблица».
- Щёлкая правой кнопки мыши по шапке таблицы, открыть меню, где выбрать дополнительный столбец таблицы: «Дата использования» или «Дата открытия».
- Щёлкнуть по заголовку только что созданного столбца, тем самым упорядочивая файлы по дате просмотра.
Cобытия в журнале Windows
Система Windows ведёт журнал для хранения системных сообщений: о включении и выключении компьютера, ошибок программ, системных событий, о проблемах безопасности. Используя этот журнал, с точностью до секунды можно узнать время включения и выключения компьютера.
Открытие «Журнала событий» Windows осуществляется несколькими способами:
- Нажимают комбинацию клавиш Win + R и в открывшемся окне вводят название программы на английском: Eventvwr. Откроется окно «Просмотр событий».
- Открывают меню «Пуск» и в окне «Найти программы и файлы» вводят текст: «Просмотр событий». Будет найдена одноимённая программа, при открытии которой откроется окно «Просмотра событий».
Для просмотра времени работы компьютера необходимо:
- В открытом окне «Просмотра событий» выбрать пункт «Журнал Windows», откроется таблица данных событий Windows.
- В данной таблице в столбце «Источник» найти источники EventLog. В этих событиях найти сведения о включении и выключении ПК.
Помощь сторонних программ
Для расширения возможностей слежения за работой компьютера устанавливают специальные программы, одной из лучших является NeoSpY.
NeoSpY позволяет отслеживать:
- нажатие клавиш, что позволяет узнавать пароли;
- экран монитора, посредством скриншотов;
- содержимое буфера обмена, т. е. что было копировано;
- работу в интернете: куда лазили и что открывали;
- работу Skype, ICQ, QIP и других мессенджеров (посредством перехвата трафика);
- копированные на флешку файлы;
- принтер, и какие документы распечатывали;
- новые установленные программы;
- изменения в системных файлах.
Программа NeoSpY может отправлять всю статистику по электронной почте, что делает её ещё более привлекательной.
В наше время информационная безопасность
очень важна. Особенно, она важна на работе. Поэтому следить за тем, что
происходило в Ваше отсутствие, уметь просмотреть историю жизнедеятельности
Вашего персонального компьютера просто необходимо.
Если Вы думаете, что в Ваше отсутствие
посторонний человек копается в Вашей информации, то Вам стоит изучить как
просматривать историю изменений. Кстати, если у Вас дети, то полученную
информацию возможно применить и к ним. Ведь отслеживать чем занимается Ваше
дитя за компьютером пока Вы его не контролируете иногда бывает весьма полезно.
Содержание
- 1 Как посмотреть историю компьютера, чего делали, куда заходили — 6 способов
- 1.1 1. Какие программы и приложения запускались
- 1.2 2. Недавно измененные файлы на компьютере
- 1.3 3. История посещения сайтов в браузере
- 1.4 4. Папка загрузки на компьютере
- 1.5 5. Заглянем в Корзину
- 1.6 6. Смотрим файл журнала
- 1.6.1 Журнал безопасности
- 1.6.2 Журнал приложений
На данный момент существует два варианта
проверки того, что было с ПК. Для одного варианта достаточно лишь компьютера, а
для второго необходим еще и интернет.
Все поисковые системы сохраняют историю действия пользователя в сети. Для того, чтобы просмотреть историю похождений необходимо нажать кнопки CTRL и H. Благодаря этой комбинации клавиш Вы увидите, где происходили путешествия по сети. Если переживаете, что посторонний увидит историю посещений, то знайте, что Вы всегда сможете ее очистить одной кнопкой.
Чтобы просмотреть историю Вам следует зайти в меню «Пуск» и ввести в окошке специальный набор символов msinfo32 и кликом компьютерной мыши запустите программу. Постарайтесь не делать никаких пробелов и написать символы верно, иначе ничего не запустится.
Если Вам хочется посмотреть, что ранее
происходило на Вашей рабочей машине, выберите рубрику выполняемые задачи. И вот
на экране Вам представлен событийный журнал.
1. Какие программы и приложения запускались
Чтобы это узнать нужно будет зайти в «Журналы Windows», а затем зайти в подкатегорию «Приложения». В журналах можно ознакомиться с историей того, что открывалось, когда запускалось и что произошло в связи с этим запуском.
Если Вам необходимо посмотреть, что за приложения открывали с Вашего компа, можете зайти в пункт «Установка». Здесь находятся установки посторонних и системных программ.
Если у Вас Windows 7 и выше, то можно еще выполнить манипуляции описанные ниже.
Во всех файлах существует определенный
признак – дата их открывания. Время определяет когда пользователь запустил
приложение либо файл.
Найти программы, которые были использованы можно! Пройдите в папку «C:Program Files». В строке поиска напишите следующую комбинацию «*.exe» и нажмите клавишу «Enter». Теперь в перечне будут отображаться файлы, содержащиеся в папке.
Далее в пункте «Вид» следует выбрать форму таблицы и надавить по заголовку столбца (безразлично какого) правой кнопкой мышки. В выпрыгнувшем меню разыскиваете вкладку «Подробнее..», затем вкладку «Дата доступа» и нажимаете кнопочку «ОК».
После этих манипуляций следует разложить полученную информацию по дате доступа и выбрать необходимый Вам период времени. Если Ваша система шестидесяти четырех разрядная, то такие манипуляции Вам необходимо будет произвести также с папочкой «C:Program Files (x86)». Вспомните, что если Ваши программы установлены в других местах, то проверить необходимо и те места тоже.
При поиске не забывайте об одной важной
детали: когда Вы начинаете открывать приложения, данные об их предыдущем
запуске автоматически затираются Вашими сведениями о вхождении и теперь
выяснить время предшествующего вхождения невозможно.
2. Недавно измененные файлы на компьютере
Обнаружить файлы с изменениями довольно легко: нажимайте на «Пуск» и выбирайте вкладку «Недавние файлы». Если такой опции нет, то попробуйте надавить совместно клавиши Win+R, а в возникшем окошке напишите «recent», запустив процедуру клавишей Enter. Теперь Вы увидите папку в которой содержится перечень измененных файлов. Кроме этого дополнительно наведите курсор на офисные программы в панели Пуск и узнаете какие документы открывались последними на этом ПК. Конечно, если человек, который проникает на Ваш компьютер знаком хоть немного с компьютерной грамотностью, то он постарается замести следы и почистить все хорошенько. Поэтому, если папка окажется пустой, ищите на Ваших жестких дисках файлы со свежим временем изменений.
3. История посещения сайтов в браузере
Проверка истории посещения сайтов зависит от того каким браузером Вы пользуетесь. Самые распространенные браузеры Google Chrome и Firefox. Итак, рассмотрим, как сделать это в Google Chrome (аналогично Yandex.Browser, Opera):
- открываем браузер;
- нажимаем комбинацию букв на клавиатуре CTRL+H;
- попадаем на страницу с информацией про историю Ваших посещений в браузере.
Если Вы предпочитаете использовать браузер Firefox, то выполняемые действия будут немного отличаться. Потребуется следующее:
- зайти в браузер;
- найти и зайти во вкладку «Журнал»;
- найти и нажать пункт «Показать весь журнал».
После этих манипуляций откроется окошко с
историей Ваших посещений за какой-либо период времени (его можно выбрать).
Теперь Вы сможете изучить информацию о посещении страничек. Конечно, историю
посещений легко подчистить и удалить, с целью заметания следов. Особенно, этим
славятся подростки, историю посещений которых изучают бдительные родители. В
таком случае Вам необходимо будет установить дополнительное приложение, которое
будет складывать информацию о жизнедеятельности в сети. Приложений таких очень
много и как говорится интернет Вам в помощь!
4. Папка загрузки на компьютере
Путь к «Загрузкам» лежит через кнопку «Пуск», которую нужно нажать. В колонке справа находится название «Загрузки». Нажмите на него и просмотрите, что качалось в определенный период времени.
Для этого отсортируйте Ваши загрузки по «Дате изменения», изучайте и делайте соответствующие выводы. Для своего удобства Вы можете выбрать вид отображения «Таблица».
5. Заглянем в Корзину
Для понимания того какие файлы удалены можно
открыть корзину и отсортировать сохраненную в ней информацию по времени
удаления, посмотреть интересующий Вас отрезок времени и проанализировать, что
было уничтожено.
Конечно, если аккуратный нехороший человек
копался в Вашей машине, он наверняка подчистил корзину, но вдруг ему кто-то
помешал, и он не успел? Никогда не пренебрегайте возможностью проверить всю
информацию.
6. Смотрим файл журнала
Для проверки журнала Вашей ОС нужно открыть «Панель управления» и найти функцию «Администрирование». После этого кликнуть на «Управление компьютером» и в навигационной панели найти вкладку «Просмотр событий». Итак, к Вашим услугам будут представлены несколько журналов – «Безопасность», «Установка», «Система» и «Приложение».
Журналы эти имеют массу нужной информации о
жизнедеятельности юзеров, ошибках приложений, загрузках, и прочего.
Журнал безопасности
В этом месте производится фиксация всех событий, чтобы просмотреть этот журнал попробуйте открыть окно просмотра событий и в журнале «Windows» выберите вкладку «Безопасность». Теперь Вы увидите события безопасности. Для того, чтобы узнать дополнительные сведения о каком-либо событии достаточно будет нажать на него и изучить полученную информацию.
Отметим, что этот журнал в обязательном
порядке включает информацию о входе в систему. Если Вы знаете о своих входах в
систему, то Вы всегда сможете идентифицировать время входа постороннего
человека.
Журнал приложений
Включает в себя информацию о том, что за
приложения открывались с Вашей машины. Когда Вы пытаетесь понять, какие
приложения использовались, когда Вас не было в Ваше отсутствие сделайте фильтрацию
по дате в событиях.
Маркетолог, вебмастер, блогер с 2011 года. Люблю WordPress, Email маркетинг, Camtasia Studio, партнерские программы)) Создаю сайты и лендинги под ключ НЕДОРОГО. Обучаю созданию и продвижению (SEO) сайтов в поисковых системах. Мои контакты >>>
Чтобы написать эту статью, мы потратили много времени и сил. Мы очень старались и если статья оказалась полезной, пожалуйста оцените наш труд. Нажмите и поделитесь с друзьями в соц. сетях — это будет лучшей благодарностью для нас и мотивацией на будущее!
Содержание
- Способы узнать, когда включался компьютер
- Способ 1: Командная строка
- Способ 2: Журнал событий
- Способ 3: Локальные групповые политики
- Способ 4: Реестр
- Способ 5: TurnedOnTimesView
- Вопросы и ответы
В век информационных технологий одной из важнейших задач для человека становится защита информации. Компьютеры настолько плотно вошли в нашу жизнь, что им доверяется самое ценное. Чтобы защитить свои данные, придумываются разные пароли, верификации, шифрование и прочие методы защиты. Но стопроцентной гарантии от их хищения не может дать никто.
Одним из проявлений беспокойства о целостности своей информации является то, что все больше пользователей желают знать, не включался ли их ПК во то время, когда они отсутствовали. И это не какие-нибудь параноидальные проявления, а жизненная необходимость — от желания проконтролировать время нахождения за компьютером ребенка до попыток уличить в недобросовестности коллег, работающих в одном офисе. Поэтому этот вопрос заслуживает более детального рассмотрения.
Способы узнать, когда включался компьютер
Существует несколько способов узнать, когда компьютер включался последний раз. Это можно сделать как средствами, предусмотренными в операционной системе, так и с помощью программного обеспечения сторонних производителей. Остановимся на них подробнее.
Способ 1: Командная строка
Этот способ является простейшим из всех и не потребует от пользователя каких-либо особых ухищрений. Все делается в два шага:
- Открыть командную строку любым удобным для пользователя способом, например, вызвав с помощью комбинации «Win+R» окно запуска программ и введя там команду
cmd.
- Ввести в строке команду
systeminfo.
Результатом выполнения команды будет вывод на экран полной и информации о системе. Для получения интересующих нас сведений следует обратить внимание на строку «Время загрузки системы».
Сведения, содержащиеся в ней, и будут временем последнего включения компьютера, не считая текущей сессии. Сопоставив их с временем своей работы за ПК, пользователь легко сможет определить, включал ли его кто-нибудь посторонний, или нет.
Пользователям, у которых установлена Windows 8 (8.1), или Windows 10, следует иметь в виду, что полученные таким образом данные отображают сведения о реальном включении компьютера, а не о выводе его из состояния гибернации. Поэтому для того чтобы получать неискаженную информацию, необходимо выключать его полностью через командную строку.
Подробнее: Как выключить компьютер через командную строку
Способ 2: Журнал событий
Узнать много интересного о том, что происходит в системе, можно из журнала событий, который ведется автоматически во всех версиях Windows. Чтобы попасть туда, необходимо сделать следующее:
- Правым кликом по иконке «Мой компьютер» открыть окно управления компьютером.
Тем пользователям, для кого способ появления на рабочем столе системных ярлыков остался тайной, или которые просто предпочитают чистый рабочий стол, можно воспользоваться строкой поиска Windows. Там нужно ввести фразу «Просмотр событий» и перейти по появившейся ссылке в результате поиска.
- В окне управления перейти к журналам Виндовс в «Система».
- В окне справа перейти к настройкам фильтра, чтобы скрыть ненужную информацию.
- В настройках фильтра журнала событий в параметре «Источник событий» установить значение «Winlogon».
В результате произведенных действий в центральной части окна журнала событий появятся данные о времени всех входов и выходов из системы.
Проанализировав эти данные, можно легко установить, включал ли компьютер кто-нибудь посторонний.
Способ 3: Локальные групповые политики
Возможность вывода сообщения о времени последнего включения компьютера предусмотрена в настройках групповых политик. Но по умолчанию этот параметр отключен. Чтобы задействовать его, нужно сделать следующее:
- В строке запуска программ набрать команду
gpedit.msc.
- После того как откроется редактор, последовательно открыть разделы так, как показано на скриншоте:
- Перейти к «Отображать при входе пользователя сведения о предыдущих попытках входа» и открыть двойным щелчком.
- Установить значение параметра в позицию «Включено».
В результате произведенных настроек, при каждом включении компьютера будет отображаться сообщение такого типа:
Плюсом данного метода является то, что кроме мониторинга успешного старта, будет выводиться информация о тех действиях по входу, которые закончились неудачей, что позволит узнать о том, что кто-то пытается подобрать пароль к учетной записи.
Редактор групповых политик присутствует только в полных версиях Windows 7, 8 (8.1), 10. В домашних базовых и Pro версиях настроить вывод сообщений о времени включения компьютера с помощью данного способа нельзя.
Способ 4: Реестр
В отличие от предыдущего, данный способ работает во всех редакциях операционных систем. Но при его использовании следует быть предельно внимательным, чтобы не допустить ошибку и случайно не испортить что-нибудь в системе.
Для того чтобы при запуске компьютера выводилось сообщение о его предыдущих включениях, необходимо:
- Открыть реестр, введя в строке запуска программ команду
regedit.
- Перейти к разделу
HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Policies System - С помощью правого клика мышкой по свободной области справа, создать новый 32-битный параметр DWORD.
Создавать нужно именно 32-битный параметр, даже если установлена 64-битная Windows. - Присвоить созданному элементу название DisplayLastLogonInfo.
- Открыть вновь созданный элемент и установить его значение равным единице.
Теперь при каждом старте система будет выводить точно такое же сообщение о времени предыдущего включения компьютера, как и описанное в предыдущем способе.
Способ 5: TurnedOnTimesView
Пользователи, которые не хотят копаться в запутанных системных настройках с риском повредить систему, для получения информации о времени последнего включения компьютера могут воспользоваться утилитой стороннего разработчика TurnedOnTimesView. По своей сути она представляет собой очень упрощенный журнал событий, где отображаются только те из них, которые касаются включения/выключения и перезагрузки компьютера.
Скачать TurnedOnTimesView
Утилита очень проста в использовании. Достаточно только распаковать скачанный архив и запустить исполняемый файл, как на экран будет выведена вся необходимая информация.
По умолчанию русскоязычный интерфейс в утилите отсутствует, но на сайте производителя можно дополнительно скачать нужный языковой пакет. Программа распространяется абсолютно бесплатно.
Вот и все основные способы, с помощью которых можно узнать, когда компьютер включали в последний раз. Какой из них предпочтительнее — решать самому пользователю.
Вам никогда не хотелось узнать, кто заходил в ваш компьютер и когда? На профессиональных изданиях Windows вы можете сделать это за счет включения аудита входа в систему.
Аудит входа в систему отслеживает как локальные, так и сетевые входы в компьютер. При каждом входе фиксируется имя вошедшего пользователя, и время его входа. Вы также можете просмотреть, когда эти пользователи вышли из системы.
Включаем аудит входа в систему
Сначала, откройте редактор локальной групповой политики. Для этого нажмите клавишу Пуск и в поле поиска наберите gpedit.msc и нажмите Enter.
В редакторе политики пройдите в папку: Политика “Локальный компьютер” -> Конфигурация компьютера –> Конфигурация Windows –> Параметры безопасности –> Локальные политики –> Политика аудита.
Теперь в правой панели двойным кликом войдите в настройки аудита входа в систему. В окне настроек включите опцию «Успех» для отображения случаев успешного доступа. Вы также можете включить опцию «Отказ» для случаев несостоявшихся попыток входа в систему.
Просмотр событий входа в систему
После включения аудита входа в систему, Windows будет записывать все события входа – включая имя пользователя и время – в системный журнал.
Для просмотра этих событий, откройте «Просмотр событий». Для этого в окне поиска введите «Просмотр событий» и нажмите Enter.
Пройдите в Журналы Windows -> Безопасность.
Ищите события с кодом 4624 – это события с успешным входом в систему. Для просмотра более подробной информации, вроде имени входившего пользователя, вы можете дважды кликнуть по событию и пролистать текст вниз.
В случаях чрезмерного загромождения журнала безопасности, вы можете кликнуть по пункту «Фильтр текущего журнала…» в боковой панели справа, и отфильтровать события по коду 4624. В результате вы увидите только события успешного входа в систему.
Вот и все! Удачи вам!
Вы никогда не задумывались о том, что если вы можете отслеживать деятельность залогиневшегося пользователя ОС Windows, то Вы так же можете и записывать информацию том, кто вошел в систему и, когда они из неё вышел? Это вполне возможно, если в системе Windows использовать функцию аудита входа. Отслеживание входа и выход пользователя очень полезно в организациях, где данные являются конфиденциальными и в ситуациях, когда Вы просто хотите узнать «кто это сделал» в вашей системе Windows. По умолчанию, функция аудита входа отключена в Windows. В этой статье, давайте посмотрим, как включить аудит авторизации и как отслеживания эти события в системе Windows.
Примечание: Аудит входа доступен только в Pro или Enterprise версий Windows 8.
Что такое Аудит входа
Аудит входа в систему — это встроенный параметр Windows, который можно найти в «Редакторе групповой локальной политики», который позволяет администратором Windows вести журнал и аудит каждого пользовательского входи и выхода на локальном компьютере или в сети. Также эта функция способна отслеживать любые неудачные попытки входа в систему. Это особенно полезно при определении и анализе любых несанкционированных подключений к Вашей машине Windows.
Включение аудита входа
Чтобы включить аудит входа в систему, мы должны настроить параметры групповой политики Windows. Нажмите сочетание клавиш “’Win + R”, введите gpedit.msc в диалоговом окне «Выполнить» и нажмите кнопку «ОК», чтобы открыть окно «Редактор локальной групповой политики».
После того, как редактор будет запущен, Перейдите в области навигации по следующему пути:
«Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита»
В открывшемся списке найдите и дважды кликните мышкой на политику «Аудит входа в систему». Пожалуйста, не путайте «Аудит входа в систему» с «Аудит событий входа в систему», так как это совершенно разных параметры.
После того, как откроется окно, выберите оба флажки «Успех» и «Отказ»’. Теперь нажмите на кнопку «Применить» и кнопку «ОК», чтобы сохранить изменения.
Вот и все, что нужно сделать. С этого момента, каждый вход и выход, а также попытки входа будут записываться в журнале событий.
Просмотр событий аудита входа в систему
Вы можете просмотреть все записи журнала входа, выхода и неудачных попыток входа в систему, в окне просмотра событий Windows. Вы можете запустить программу просмотра событий с помощью функции поиска в меню «Пуск». Если вы используете Windows 8, то Вы можете запустить то же самое окно с помощью меню сочетания клавиш «Win + X» и выбрав из меню пункт «Просмотр событий».
После того как вы запустите окно «Просмотра событий», перейдите к разделу «Журналы Windows», и выберете журнал «Безопасность».
Здесь Вы найдете все, что связанно с событиями безопасности, которые произошли в Вашей системе Windows. Если Вы дважды щелкните по ключевому слову «Аудит успеха», то Вы узнаете детальную информацию по данному событию.
Так же Вы можете фильтровать журнал событий с помощью различных параметров, нажав на кнопку «Фильтр текущего журнала…», расположенную на правой боковой панели окна «Просмотр событий».
Вот и все, что нужно сделать для того, чтобы просто отслеживать регистрацию пользователей в системе Windows.
Надеюсь, что статья была Вам интересна. Оставляйте комментарии, подписывайтесь на наши новости и оставайтесь с нами.