如何在Windows计算机上检查成功或失败的登录尝试
Windows 允许您创建多个用户帐户,让多个用户使用一台计算机。 但是,如果您怀疑有人在您不知情的情况下访问了您的 PC 或用户帐户怎么办?
虽然对大多数人来说,始终以物理方式监视您的计算机是不可行的,但内置的 Windows 日志实用程序事件查看器可以揭示您计算机上最近的活动,包括登录尝试。 在这里,我们向您展示如何使用事件查看器和其他方法在 Windows 中审核失败和成功的登录尝试。
推荐:在Windows上打开系统信息工具的10种方法
如何通过组策略编辑器启用登录审核
您需要在组策略编辑器中启用登录审核才能在事件查看器中查看登录审核。 虽然此功能可能在某些计算机上默认启用,但您也可以按照以下步骤手动启用登录审核。
请注意,组策略编辑器仅适用于 Windows 操作系统的专业版、教育版和企业版。 如果您使用的是家庭版,请按照我们的指南在 Windows 家庭版中启用 gpedit。
请注意,如果您没有为登录审核配置组策略,您只能在事件查看器中查看成功的登录尝试。
启用组策略编辑器后,请按照以下步骤启用登录审核:
- 按 win + R 打开 run.
- 类型 gpedit.msc 然后点击 好的 打开 组策略编辑器。
- 接下来,导航到以下位置:
Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy
- 在右窗格中,右键单击 审核登录事件 并选择 特性.
- 在里面 特性 对话框,选择 成功 和 失败 下的选项 审核这些尝试 部分。
- 点击 申请 和 好的 保存更改。
关闭组策略编辑器并转到下一组步骤以在事件查看器中查看登录尝试。
如何在事件查看器中查看失败和成功的登录尝试
事件查看器允许您查看应用程序、安全、系统和其他事件的 Windows 日志。 虽然是解决系统问题的有用应用程序,但您可以使用它来审核 Windows PC 上的登录事件。
按照以下步骤查看 Windows 中失败和成功的登录尝试:
- 请按 赢键 并输入 事件查看器。 或者,单击 搜索 在任务栏中输入 事件查看器。
- 点击 事件查看器 从搜索结果中打开它。
- 在左窗格中,展开 Windows 日志 部分。
- 接下来,选择 安全.
- 在右窗格中,找到 事件 4624 入口。 它是一个用户登录事件 ID,您可能会在事件日志中找到该 ID 的多个实例。
- 要查找失败的登录尝试,请找到 事件 ID 2625 条目代替。
- 接下来,选择 事件 4624 您要查看的条目,事件查看器将在底部显示所有相关信息。 或者,右键单击事件条目并选择 特性 在新窗口中查看详细信息。
推荐:如何使用GNOME扩展在Linux上创建冬季仙境
如何破译事件查看器中的登录条目
虽然事件 ID 4624 与登录事件相关联,但您可能会在日志中每隔几分钟发现此条目的多个实例。 这是因为事件查看器使用相同的事件 ID 记录每个登录事件(无论是来自本地用户帐户还是系统服务,例如 Windows 安全) (事件 4624).
要识别登录来源,请右键单击事件记录并选择 特性. 在里面 一般的 选项卡,向下滚动并找到 登录信息 部分。 在这里, 登录类型 字段指示发生的登录类型。
例如, 登录类型 5 表示基于服务的登录,而 登录类型 2 表示基于用户的登录。 在下表中了解有关不同登录类型的更多信息。
接下来,向下滚动到 新登录 部分并找到 安全编号. 这将显示受登录影响的用户帐户。
同样,对于失败的登录尝试,请查看 事件 ID 4625. 在里面 特性 对话框,您可以找到登录尝试失败的原因和受影响的用户帐户。 如果您发现多个失败尝试实例,请考虑学习如何限制失败登录尝试的次数以保护您的 Windows PC。
以下是所有九个列表 登录类型 对于您可能遇到的登录事件,请在事件查看器中查看登录事件:
登录类型 | 描述 |
登录类型 2 | 本地用户登录到此计算机。 |
登录类型 3 | 用户从网络登录到这台计算机。 |
登录类型 4 | 无需用户干预的批量登录类型——计划任务等。 |
登录类型 5 | 通过服务控制管理器启动的系统服务登录——最常见的类型 |
登录类型 7 | 由本地帐户用户解锁的系统 |
登录类型 8 | NetworkClearText – 尝试通过以明文形式发送密码的网络登录。 |
登录类型 9 | NewCredentials – 当用户使用带有 /netonly 选项的 RunAs 命令启动程序时触发。 |
登录类型 10 | RemoteInteractive – 在通过远程访问工具(如远程桌面连接)访问计算机时生成。 |
登录类型 11 | CachedInteractive – 当用户在域控制器不可用时使用缓存的凭据通过控制台登录到计算机。 |
如何使用命令提示符查看上次登录历史记录
您可以使用命令提示符查看上次登录尝试。 这是一种查找基于用户的登录尝试的简便方法,而无需查看事件查看器中的所有登录事件。
要使用命令提示符查看特定用户的登录历史记录:
- 按 赢 + R 打开 跑.
- 类型 命令. 同时持有 Ctrl + Shift 键, 点击 好的. 这将打开 命令提示符 作为管理员。
- 在命令提示符窗口中,键入以下命令并按 Enter:
net user administrator | findstr /B /C:"Last logon"
- 在上面的命令中,将“administrator”替换为用户名以查看其登录历史记录。
- 输出将显示指定用户的上次登录时间和日期。
在 Windows 中查看失败和成功的登录尝试
如果您怀疑有人登录了您的 PC,事件查看器可能会捕获并记录这次尝试。 为此,您必须在组策略编辑器中启用登录审核策略。 您还可以使用命令提示符查看特定用户的登录历史记录。
也就是说,任何熟悉事件查看器的人都可以轻松清除日志。 因此,如果有的话,加强 Windows 计算机安全是防止未经授权访问的最佳方法。 您可以首先限制 Windows PC 上的失败登录尝试次数。