Læsere som dig hjælper med at støtte MUO. Når du foretager et køb ved hjælp af links på vores websted, kan vi optjene en affiliate-kommission. Læs mere.

Windows giver dig mulighed for at oprette flere brugerkonti for at lade flere brugere bruge en enkelt computer. Men hvad hvis du mistænker nogen for at have adgang til din pc eller brugerkonto uden din viden?

Mens fysisk overvågning af din computer hele tiden ikke er muligt for de fleste mennesker, er den indbyggede Windows-logværktøjet, Event Viewer, kan afsløre de seneste aktiviteter på din computer, inklusive login forsøg. Her viser vi dig, hvordan du kontrollerer mislykkede og vellykkede loginforsøg i Windows ved hjælp af Event Viewer og andre metoder.

Sådan aktiverer du logonrevision via Group Policy Editor

Du skal aktivere logon-revision i Group Policy Editor for at kunne se login-revision i Event Viewer. Selvom denne funktion muligvis er aktiveret som standard på nogle computere, kan du også aktivere logonrevision manuelt ved at følge disse trin.

instagram viewer

Bemærk, at Group Policy Editor kun er tilgængelig på Pro-, Edu- og Enterprise-udgaven af ​​Windows OS. Hvis du er på Home-udgaven, så følg vores guide til aktiver gpedit i Windows Home-udgaven.

Bemærk, at hvis du ikke konfigurerer din gruppepolitik for logonrevision, kan du kun se de vellykkede loginforsøg i Event Viewer.

Når du har aktiveret Group Policy Editor, skal du følge disse trin for at aktivere logonrevision:

  1. Trykke Win + R at åbne Løb.
  2. Type gpedit.msc og klik Okay at åbne Group Policy Editor.
  3. Derefter skal du navigere til følgende placering:Computerkonfiguration > Windows-indstillinger > Sikkerhedsindstillinger > Lokale politikker > Revisionspolitik
  4. Højreklik på i højre rude Revision logon hændelser og vælg Ejendomme.
  5. I den Ejendomme dialog, vælg Succes og Fiasko muligheder under Revider disse forsøg afsnit.
  6. Klik ansøge og Okay for at gemme ændringerne.

Luk Group Policy Editor og gå til næste sæt trin for at se loginforsøg i Event Viewer.

Sådan får du vist mislykkede og vellykkede loginforsøg i Event Viewer

Det Event Viewer lader dig se Windows-logfiler for programmet, sikkerheden, systemet og andre hændelser. Selvom det er et nyttigt program til fejlfinding af systemproblemer, kan du bruge det til at kontrollere login-hændelser på din Windows-pc.

Følg disse trin for at se mislykkede og vellykkede loginforsøg i Windows:

  1. Tryk på Win nøgle og type begivenhedsfremviser. Alternativt, klik på Søg i proceslinjen og skriv begivenhedsfremviser.
  2. Klik på Event Viewer fra søgeresultatet for at åbne det.
  3. Udvid i venstre rude Windows-logfiler afsnit.
  4. Vælg derefter Sikkerhed.
  5. I højre rude skal du finde Begivenhed 4624 indgang. Det er et brugerlogon-hændelses-id, og du kan finde flere forekomster af dette id i hændelsesloggen.
  6. Find mislykkede loginforsøg Hændelses-id 2625 poster i stedet.
  7. Vælg derefter Begivenhed 4624 post, du vil se, og Event Viewer viser alle relaterede oplysninger i den nederste sektion. Alternativt kan du højreklikke på begivenhedsindgangen og vælge Ejendomme for at se detaljerede oplysninger i et nyt vindue.

Sådan dechifrerer du logonposterne i Event Viewer

Selvom hændelses-id 4624 er forbundet med logonhændelser, vil du sandsynligvis finde flere forekomster af denne post med få minutters mellemrum i loggen. Dette skyldes, at Event Viewer optager hver logonhændelse (enten fra den lokale brugerkonto eller systemtjenester såsom Windows Security) med det samme hændelses-id (Begivenhed 4624).

For at identificere kilden til login skal du højreklikke på hændelsesposten og vælge Ejendomme. I den Generel fanen, rul ned og find Logon oplysninger afsnit. Her, den Logon type feltet angiver den type logon, der fandt sted.

For eksempel, Logon type 5 angiver et servicebaseret login, mens Logon type 2 angiver brugerbaseret login. Få mere at vide om de forskellige logontyper i tabellen nedenfor.

Rul derefter ned til Nyt logon sektion og find Sikkerheds-id. Dette vil vise den brugerkonto, der blev påvirket af logon.

Tilsvarende, for mislykkede loginforsøg, gennemgå Begivenheds-id 4625. I den Ejendomme dialogboks, kan du finde årsager til det mislykkede loginforsøg og den berørte brugerkonto. Hvis du finder flere tilfælde af mislykkede forsøg, kan du overveje at lære hvordan man begrænser antallet af mislykkede loginforsøg for at beskytte din Windows-pc.

Nedenfor er listen over alle ni Logon typer for logonhændelser, som du kan støde på ved gennemgang af loginhændelser i Event Viewer:

Logon type Beskrivelse
Logon type 2 En lokal bruger loggede på denne computer.
Logon type 3 En bruger loggede på denne computer fra netværket.
Logon type 4 Batchlogontype uden brugerindblanding – Planlagte opgaver osv.
Logon type 5 Logon af systemtjeneste startet af Service Control Manager - Mest almindelig type
Logon type 7 System låst op af en lokal kontobruger
Logon type 8 NetworkClearText - Logon forsøgt over netværket, hvor adgangskoden blev sendt som klar tekst.
Logon type 9 NewCredentials – udløses, når en bruger bruger kommandoen RunAs med /netonly-indstillingen til at starte et program.
Logon type 10 RemoteInteractive – Genereres, når en computer tilgås via et fjernadgangsværktøj, såsom Remote Desktop Connection.
Logon type 11 CachedInteractive – Når brugeren loggede på computeren via konsollen ved hjælp af de cachelagrede legitimationsoplysninger, når domænecontrolleren ikke er tilgængelig.

Sådan får du vist den seneste logonhistorik ved hjælp af kommandoprompt

Du kan bruge kommandoprompten til at se det sidste loginforsøg. Det er en praktisk måde at finde brugerbaserede loginforsøg uden at skulle gennemgå alle logonhændelser i Event Viewer.

Sådan får du vist loginhistorikken for en bestemt bruger ved hjælp af kommandoprompt:

  1. Trykke Win + R at åbne Løb.
  2. Type cmd. Mens du holder Ctrl + Shift-tasten, klik Okay. Dette vil åbne Kommandoprompt som administrator.
  3. I kommandopromptvinduet skal du skrive følgende kommando og trykke på Enter:netbrugeradministrator | findstr /B /C:"Sidste logon"
  4. I ovenstående kommando skal du erstatte "administrator" med brugernavnet for at se deres login-historik.
  5. Outputtet vil vise sidste login-tidspunkt og -dato for den angivne bruger.

Visning af mislykkede og vellykkede loginforsøg i Windows

Hvis du har mistanke om, at nogen har logget ind på din pc, vil Event Viewer sandsynligvis fange og optage forsøget. For at dette skal virke, skal du aktivere logon-revisionspolitikken i Group Policy Editor. Du kan også bruge kommandoprompt til at se en specifik brugers login-historik.

Når det er sagt, kan alle, der kender deres vej rundt i Event Viewer, nemt rydde loggene. Så hvis noget er en styrkelse af din Windows-computersikkerhed den bedste måde at forhindre uautoriseret adgang på. Du kan begynde med at begrænse antallet af mislykkede loginforsøg på din Windows-pc.