Windows ti consente di creare più account utente per consentire a più utenti di utilizzare un singolo computer. Ma cosa succede se sospetti che qualcuno abbia effettuato l'accesso al tuo PC o account utente a tua insaputa?
Sebbene il monitoraggio fisico del computer per tutto il tempo non sia fattibile per la maggior parte delle persone, il built-in L'utilità di registro di Windows, Visualizzatore eventi, può rivelare le attività recenti sul tuo computer, incluso l'accesso tentativi. Qui ti mostriamo come controllare i tentativi di accesso falliti e riusciti in Windows utilizzando il Visualizzatore eventi e altri metodi.
Come abilitare il controllo dell'accesso tramite l'Editor criteri di gruppo
È necessario abilitare il controllo dell'accesso nell'Editor criteri di gruppo per poter visualizzare il controllo dell'accesso nel Visualizzatore eventi. Sebbene questa funzionalità possa essere abilitata per impostazione predefinita su alcuni computer, è anche possibile abilitare il controllo dell'accesso manualmente seguendo questi passaggi.
Tieni presente che l'Editor criteri di gruppo è disponibile solo nelle edizioni Pro, Edu ed Enterprise del sistema operativo Windows. Se sei nell'edizione Home, segui la nostra guida a abilitare gpedit nell'edizione home di Windows.
Si noti che se non si configurano i Criteri di gruppo per il controllo dell'accesso, è possibile visualizzare solo i tentativi di accesso riusciti nel Visualizzatore eventi.
Una volta abilitato l'Editor criteri di gruppo, attenersi alla seguente procedura per abilitare il controllo dell'accesso:
- Premere Vinci + R aprire Correre.
- Tipo gpedit.msc e clicca OK per aprire il Editor criteri di gruppo.
- Successivamente, vai alla seguente posizione:
Configurazione del computer > Impostazioni di Windows > Impostazioni di sicurezza > Politiche locali > Politica di controllo - Nel riquadro di destra, fare clic con il pulsante destro del mouse su Controlla gli eventi di accesso e seleziona Proprietà.
- Nel Proprietà finestra di dialogo, selezionare Successo E Fallimento opzioni sotto il Controlla questi tentativi sezione.
- Clic Fare domanda a E OK per salvare le modifiche.
Chiudi l'Editor criteri di gruppo e passa alla serie di passaggi successiva per visualizzare i tentativi di accesso nel Visualizzatore eventi.
Come visualizzare i tentativi di accesso falliti e riusciti nel Visualizzatore eventi
IL Visualizzatore eventi consente di visualizzare i registri di Windows per l'applicazione, la sicurezza, il sistema e altri eventi. Sebbene sia un'applicazione utile per risolvere i problemi di sistema, puoi utilizzarla per controllare gli eventi di accesso sul tuo PC Windows.
Segui questi passaggi per visualizzare i tentativi di accesso falliti e riusciti in Windows:
- premi il Chiave vincente e tipo visualizzatore eventi. In alternativa, clicca su Ricerca nella barra delle applicazioni e digitare visualizzatore eventi.
- Clicca su Visualizzatore eventi dal risultato della ricerca per aprirlo.
- Nel riquadro di sinistra, espandi il file Registri di Windows sezione.
- Quindi, seleziona Sicurezza.
- Nel riquadro di destra, individuare il file Evento 4624 iscrizione. È un ID evento di accesso utente e potresti trovare più istanze di questo ID nel registro eventi.
- Per trovare i tentativi di accesso non riusciti, individuare ID evento 2625 voci invece.
- Quindi, seleziona il Evento 4624 voce che desideri visualizzare e il Visualizzatore eventi visualizzerà tutte le informazioni correlate nella sezione inferiore. In alternativa, fai clic con il pulsante destro del mouse sulla voce dell'evento e seleziona Proprietà per visualizzare informazioni dettagliate in una nuova finestra.
Come decifrare le voci di accesso nel Visualizzatore eventi
Sebbene l'ID evento 4624 sia associato agli eventi di accesso, è probabile che nel registro siano presenti più istanze di questa voce ogni pochi minuti. Ciò è dovuto al fatto che il Visualizzatore eventi registra ogni evento di accesso (dall'account utente locale o dai servizi di sistema come la sicurezza di Windows) con lo stesso ID evento (Evento 4624).
Per identificare l'origine dell'accesso, fare clic con il pulsante destro del mouse sul record dell'evento e selezionare Proprietà. Nel Generale scheda, scorrere verso il basso e individuare il Informazioni di accesso sezione. Ecco, il Tipo di accesso campo indica il tipo di accesso che si è verificato.
Per esempio, Tipo di accesso 5 indica un accesso basato sul servizio, mentre Tipo di accesso 2 indica l'accesso basato sull'utente. Scopri di più sui diversi tipi di accesso nella tabella seguente.
Quindi, scorri verso il basso fino a Nuovo accesso sezione e individuare il ID di sicurezza. Questo mostrerà l'account utente interessato dall'accesso.
Allo stesso modo, per i tentativi di accesso non riusciti, rivedere ID evento 4625. Nel Proprietà finestra di dialogo, puoi trovare i motivi del tentativo di accesso non riuscito e l'account utente interessato. Se trovi più istanze di tentativi falliti, considera l'apprendimento come limitare il numero di tentativi di accesso falliti per proteggere il tuo PC Windows.
Di seguito è riportato l'elenco di tutti e nove Tipi di accesso per gli eventi di accesso che potresti riscontrare rivedendo gli eventi di accesso nel Visualizzatore eventi:
| Tipo di accesso | Descrizione |
| Tipo di accesso 2 | Un utente locale ha eseguito l'accesso a questo computer. |
| Tipo di accesso 3 | Un utente ha effettuato l'accesso a questo computer dalla rete. |
| Tipo di accesso 4 | Tipo di accesso batch senza intervento dell'utente: attività pianificate, ecc. |
| Tipo di accesso 5 | Accesso tramite servizio di sistema avviato da Service Control Manager: il tipo più comune |
| Tipo di accesso 7 | Sistema sbloccato da un utente con account locale |
| Tipo di accesso 8 | NetworkClearText: tentativo di accesso sulla rete in cui la password è stata inviata come testo non crittografato. |
| Tipo di accesso 9 | NewCredentials: attivato quando un utente utilizza il comando RunAs con l'opzione /netonly per avviare un programma. |
| Tipo di accesso 10 | RemoteInteractive: generato quando si accede a un computer tramite uno strumento di accesso remoto come Connessione desktop remoto. |
| Tipo di accesso 11 | CachedInteractive: quando l'utente ha effettuato l'accesso al computer tramite console utilizzando le credenziali memorizzate nella cache quando il controller di dominio non è disponibile. |
Come visualizzare la cronologia dell'ultimo accesso utilizzando il prompt dei comandi
È possibile utilizzare il prompt dei comandi per visualizzare l'ultimo tentativo di accesso. È un modo pratico per trovare i tentativi di accesso basati sull'utente senza dover passare attraverso tutti gli eventi di accesso nel Visualizzatore eventi.
Per visualizzare la cronologia degli accessi di un utente specifico utilizzando il prompt dei comandi:
- Premere Vinci + R aprire Correre.
- Tipo cmd. Mentre si tiene il Ctrl + tasto Maiusc, fare clic OK. Questo aprirà il Prompt dei comandi come amministratore.
- Nella finestra del prompt dei comandi, digita il seguente comando e premi Invio:
amministratore utente netto | findstr /B /C:"Ultimo accesso" - Nel comando precedente, sostituisci "administrator" con il nome utente per visualizzare la cronologia degli accessi.
- L'output mostrerà l'ora e la data dell'ultimo accesso per l'utente specificato.
Visualizzazione dei tentativi di accesso falliti e riusciti in Windows
Se sospetti che qualcuno abbia effettuato l'accesso al tuo PC, il Visualizzatore eventi probabilmente rileverà e registrerà il tentativo. Affinché funzioni, è necessario abilitare il criterio di controllo dell'accesso nell'Editor criteri di gruppo. Puoi anche utilizzare il prompt dei comandi per visualizzare la cronologia di accesso di un utente specifico.
Detto questo, chiunque conosca il Visualizzatore eventi può facilmente cancellare i registri. Quindi, semmai, rafforzare la sicurezza del tuo computer Windows è il modo migliore per impedire l'accesso non autorizzato. Puoi iniziare limitando il numero di tentativi di accesso non riusciti sul tuo PC Windows.