Как в Windows проверить, кто использовал компьютер и когда
Вы когда-нибудь хотели контролировать, кто входит в ваш компьютер и когда? В профессиональных выпусках Windows вы можете включить аудит входа в систему, чтобы запись всех входов в Windows.
Аудит входов в систему отслеживает как локальных пользователей, так и сетевые учетные записи. Каждое событие входа указывает учетную запись пользователя, с помощью которой происходила авторизация. Вы также можете увидеть, когда пользователи вышли из системы.
Примечание. Аудит входа в систему работает только в профессиональной версии Windows, поэтому вы не можете использовать это, если у вас домашняя версия. Это должно работать на Windows 7, 8 и Windows 10. Мы рассмотрим Windows 10 в этой статье. В других версиях экраны могут выглядеть немного иначе, но этот процесс почти такой же.
Как включить аудит входа в систему
Чтобы включить аудит входа в систему, мы будем использовать редактор локальных групповых политик. Это довольно мощный инструмент, поэтому, если вы никогда не использовали его раньше, стоит потратить некоторое время на его изучение. Кроме того, если ваш компьютер подключен к сети компаний, сначала Вам придётся обратиться за разрешением к администратору. Если ваш рабочий компьютер является частью домена, также вероятно, что это часть политики группы доменов, которая в любом случае заменит политику локальной группы.
В редакторе локальных групповых политик в левой панели перейдите к политике Локального компьютера → Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Политика аудита. В правой панели дважды щелкните параметр «Аудит входа в систему».
Теперь вы можете закрыть окно редактора локальной групповой политики.
Просмотр событий входа в систему
Нажмите значок поиска рядом с меню «Пуск», введите «Просмотр событий» и нажмите соответствующий результат в окне поиска.
В окне «Просмотр событий» в левой панели перейдите в раздел «Журналы Windows» → «Безопасность».
В центральной панели вы, вероятно, увидите ряд событий «Аудит успеха». Windows регистрирует отдельные сведения о таких вещах, как предоставление своих привилегий проверенным аккаунтом. Вам нужной найти события с идентификатором 4624 – они представляют собой успешные события входа в систему. Вы можете увидеть подробности о выбранном событии в нижней части этой средней панели, а также можете дважды щелкнуть событие, увидев его данные в отдельном окне.
Если Вы перейдёте к деталям, то сможете увидеть такую информацию, как имя учетной записи пользователя.
Поскольку это ещё одно событие в журнале событий Windows с определенным идентификатором события, вы также можете использовать планировщик заданий для принятия действий при входе в систему. Вы даже можете отправить сообщение на электронную почту, когда кто-то войдет в систему Windows.
Как посмотреть, кто и чем занимался на компьютере в мое отсутствие: определяем последние действия «чужака».
Не подскажите, можно ли как-то посмотреть, кто и чем занимался на компьютере в мое отсутствие? И, если можно, как-нибудь бы защитить ПК от таких не званных гостей.
Вообще, для 100%-надежной защиты вашего ПК — он должен быть всегда при вас (тогда никто не сможет отформатировать диск, и посмотреть ваши данные).
Собственно, теперь об основном вашем вопросе: где и какую историю хранит Windows и как это посмотреть.
Не мешай! Всё уже и так записано на диске. (Евгений Кран, сайт: http://cartoon.kulichki.com/)
Как посмотреть последние действия: история работы
👉 Совет 1: анализируем журнал событий
В Windows есть спец. журналы, куда заноситься очень многое: когда включался и выключался компьютер, коды шибок, предупреждения и т.д. Нас же, разумеется, интересует время вкл./выкл. 😉
Чтобы открыть журнал : нажмите Win+R —> откроется окно «Выполнить» —> в него введите команду eventvwr.
После должно появиться окно событий — в нем нужно выбрать вкладку «Журналы Windows / Система» и открыть фильтр текущего журнала. Далее выбрать дату, установить галочку «Сведения» и нажать OK (см. мой пример ниже 👇).
Смотрим историю вкл. ПК за последние сутки
Теперь внимательно смотрим список событий: если вы их отфильтровали — список не будет большим. В первую очередь нас интересуют события «Power. « — в моем примере ниже (👇) показано, что кто-то вывел мой ПК в 7:59 по Москве.
Могли ли вы в это время использовать компьютер
Собственно, время, когда работал ПК мы уже знаем.
👉 Совет 2: смотрим документы и файлы, с которыми недавно работали
По умолчанию Windows помнит обо всех документах и файлах, которые вы недавно открывали (это делается с целью ускорения открытия файлов, с которыми часто работаете).
Чтобы посмотреть этот список (недавних документов*) — нажмите Win+R, и используйте команду shell:recent.
Далее у вас откроется системный каталог, в котором вы сможете отсортировать по дате изменения все файлы — ну и сравнить, с вашими рабочими часами за ПК (а заодно и узнаете, какими документами интересовались «гости» 😉).
Недавние документы отсортированные по дате
Ну и не могу не отметить, что если вы откроете свойства файла — то во вкладке «Подробно» проводник вам сможет подсказать даты доступа, печати и изменения документа.
Как посмотреть недавно открытые файлы в ОС Windows 10 (никак не могу найти вчерашний документ. )
👉 Совет 3: анализируем историю посещений в браузере
Кстати, в Chrome можно также перейти на страничку: chrome://history/
Ctrl+H — открыть историю
После, в журнале указываете нужную дату и уточняете какие сайты просматривались. 👌 (Кстати, многие пользуются соц. сетями — а значит можно будет быстро узнать кто заходил на свой профиль!).
1) Как посмотреть историю посещения сайтов, даже если она удалена
2) Как очистить историю посещения сайтов, чтобы нельзя было восстановить! Удаление всего кэша браузеров
👉 Совет 4: проверяем свой профиль Google
Кстати, если незваный «гость» на ПК пользовался сервисами Google — то вероятно вы сможете узнать, например, что он искал в поисковой системе (еще один «плюсик» к пакету информации 😉). Благо, что по умолчанию Google всю эту информацию собирает и «откладывает».
Профиль Google (браузер Chrome)
Далее «проматываете» до нужной даты и смотрите, какие поисковые запросы были сделаны. 👌
👉 Совет 5: просматриваем корзину, каталог загрузок
Папку «загрузки» можно открыть, нажав на Win+R, и использовав в меню «Выполнить» команду: shell:downloads.
Чтобы открыть корзину (даже если ее значка нигде нет): нажмите Win+R, и используйте команду Shell:RecycleBinFolder.
👉 Совет 6: как поймать с поличным «тайного работника» за вашим ПК
На мой взгляд, самый простой способ это сделать — воспользоваться спец. программами для контроля сотрудников (например, Clever Control ). Примечание : таких программ много, я просто привел одну из них.
Установка у Clever Control простая и интуитивно понятная, в процессе работы она будет незаметно фиксировать всё в спец. журнал (в т.ч. и делать снимки с веб-камеры, запоминать работающие программы, и т.д., в зависимости от ваших настроек).
Clever Control — одна из программ для контроля сотрудников (узнали, кто сидел за ПК!)
Т.е. о том, что вы ее установили к себе на ПК, и что она работает — никто не узнает, а просматривать что творится за вашей системой вы сможете в любое удобное для вас время (даже не находясь возле нее ( прим. : с другого компьютера)).
Таким образом вы сможете узнать кто и что делает за вашим ПК, причем так, что «виновник» даже не узнает о том, что он «попался». 😉
3 способа узнать, что кто-то пользовался компьютером без вашего ведома
Причиной проникновения в компьютер может стать как простое любопытство, так и умышленное копирование чужих данных. Узнать о входе посторонних в систему и их действиях можно различными способами и для этого вовсе не нужно обладать знаниями системного администратора.
Посмотрите последние открытые документы
Определить включение ПК в отсутствие пользователя можно по изменениям в различных файлах. Если целью злоумышленника было копирование какой-либо информации, то проверять следует по последним открытым документам. Сделать это можно следующим образом:
Есть способ и проще:
Определение незаконного проникновения в систему таким образом не всегда надежно. Если у злоумышленника имеется большой опыт работы на компьютере, то ему не составит труда удалить сведения о последних открывавшихся или изменявшихся документах.
Изучите историю посещения страниц в интернете
Другим подходящим способом для поиска чужой активности является изучение истории браузера. Если пользователь не воспользовался режимом «Инкогнито», то просмотренные им веб-страницы будут зафиксированы в памяти поисковика.
Вызвать вкладку с историей посещения можно в настройках браузера или с помощью нажатия клавишной комбинации «Ctrl + H». Система сохранения данных в истории может отличаться у разных браузеров, но такая комбинация универсальна.
Если «непрошенный гость» успел очистить историю браузера, то следует воспользоваться историей действий Google. Поисковик учитывает поступавшие запросы с определенного аккаунта и сохраняет их для всех устройств.
Посмотрите время последних заходов в систему
Первые два способа обнаружения следов чужой активности не очень надежны. История браузера и вкладка «недавние документы» в меню «Пуск» могут быть легко очищены опытным злоумышленником. Поэтому большинство пользователей интересуется, имеется ли в ПК специальный журнал, в котором фиксируются все записи о работе устройства, в том числе его включении и выключении.
Такой журнал действительно есть. И если четко помнить, в какой именно период пользователь не включал компьютер, можно достоверно установить посторонние включения по журналу безопасности с записями «Блога событий» и запущенных процессов операционной системы.
Для этого необходимо:
Появится список событий в виде таблицы со следующими данными:
Для удобства можно воспользоваться фильтром на панели правой части окна, отделив в его настройках по коду или соответствующему источнику те события, которые интересуют, т.е. включение и выключение ПК. Таким образом можно легко установить, когда ПК использовался в отсутствие пользователя и сколько времени он был включен. Лучшее решение в случае несанкционированного запуска системы – сменить пароль на более сложный.
Определить следы присутствия «незваного гостя» на ПК не так уж и сложно. Однако предпочтение нужно отдавать просмотру журнала событий, в котором фиксируются все системные процессы. Первые два способа не безошибочны, и не всегда с их помощью можно получить достоверные данные.
Как узнать кто заходил в компьютер и кто пытался зайти в Windows 10, 8, 7, Vista, XP
Как узнать кто включал компьютер?
Хороший вопрос. Узнать кто заходил или пытался зайти в компьютер можно разными способами. С помощью кейлоггеров и других специальных шпионских программ. Это конечно хороший способ, так как дает еще больше информации о действиях злоумышленника на вашем компьютере. Но тем кому не нужен функционал клавиатурного шпиона может узнать о попытках входа в Windows с помощью самой операционной системы.
Это может вас маленько удивит, но несмотря на то, что наш сайт посвящен софту, я большой противник установки кучи не всегда нужных программ на свой компьютер и поэтому всегда пытаюсь решить проблему путем самой операционной системы. Поэтому сегодня я расскажу, как узнать кто пользовался компьютером во время вашего отсутствия и сделать это без использования дополнительных программ.
Кстати, в статье «Невидимая папка Windows» мы рассказывали о создании прозрачных, невидимых папок на рабочем столе, которые в некоторых ситуациях могут быть очень полезны.
Как узнать кто заходил в компьютер?
Первый способ позволяет логировать (сохранять в отчет) все успешные, а также неудачные попытки входа в систему. Отчет может сохранить данные недельной и месячной давности, в зависимости от ваших настроек. Лог о попытках входа в систему можно просмотреть в любое время.
Второй способ оповещает вас о том, когда и кто заходил в компьютер в последний раз каждый раз когда вы будете логиниться в систему. Другими словами каждый раз при входе в Windows операционная система будет отображать последние попытки входа в систему, точное время и другую информацию. Я покажу два разных способа позволяющих активировать данную функцию.
Решили как будете защищать компьютер? Тогда пойдем дальше и начнем с первого способа.
Кто заходил в компьютер с помощью журнала событий
Для того чтобы журнал событий Windows сохранял информацию о том кто пользовался компьютером надо эту функцию включить.
Первым делом откроем редактор групповой политики. Комбинацией клавиш WIN+R.
В окне «Выполнить» введем команду gpedit.msc и нажмем ОК.
Имейте ввиду. Не все версии Windows имеют редактор групповой политики. Если в вашей операционной системе отсутствует данный инструмент, попробуйте второй способ или обновите операционную систему до версии Professional.
Итак, после того как открылось окно редактора перейдите в ветку — «Политика Локальный компьютер» —> «Конфигурация компьютера» —> «Конфигурация Windows» —> «Параметры безопасности» —> «Локальные политики» —> «Политика аудита».
В этой папке находим пункт «Аудит входа в систему».
Двойным кликом мышки заходим в свойства и отмечаем галочкой параметры «Успех» и «Отказ».
После включения функции аудита входов в операционную систему, Windows будет сохранять все события попыток входа. Будут записываться такие данные как имя пользователя и время.
Чтобы просмотреть отчет нужно запустить журнал событий Windows. Делается это с помощью «WIN+R» и команды «eventvwr».
В появившемся окне заходим в журналы Windows, пункт Безопасность.
Здесь вы увидите огромный список различных событий. Для того чтобы найти необходимые нам данные можно воспользоваться фильтром в меню действий справа.
Кто заходил в компьютер при загрузке системы
Ну, а теперь я покажу как выводить на экран информацию во время каждой загрузки системы о том, кто последний раз пользовался компьютером.
Для вашего удобства я создал два файла которые добавляют необходимые ключи в реестр. Один ключ включает опцию показа информации о последнем входе, а другой отключает данную функцию. Если вам лень самому все делать или вы не разбираетесь, тогда смело качайте архив.
Запускать файлы надо от Администратора!
А теперь для любителей погорячее, которые решили делать все ручками не скачивая эти файлы со страшными вирусами, которые еще и надо запускать от имени администратора )).
Запустим редактор реестра. На Windows 7 и 8 делается это с помощью пункта «Выполнить», которое находится в меню «Пуск». После того как появилось окно «Выполнить» вводим команду «regedit».
Regedit на Windows 7, 8, 8.1
На Windows 10 тоже можно через пункт «Выполнить» или с помощью поиска, так как это показано на скрине ниже.
Regedit на Windows 10
Теперь в редакторе реестра находим каталог «System».
В котором создаем новый параметр.
Даем ему имя «DisplayLastLogonInfo»
И изменяем его значение с 0 на 1.
Если вы все сделали правильно, то получите вот такой вот результат.
После этапа авторизации появится окно в котором будет подробная информация о последнем успешном входе в систему, дате и точном времени. А также данные о всех неудачных попытках входа в Windows. После ознакомления нажимаем ОК и продолжаем процесс загрузи системы.
Хотелось бы уточнить, что даже если компьютер является членом домена Active Directory и на него заходят под доменными учетными записями, при локальном включении политики отображаться будет только информация о локальных учетных записях. Для отображения информации о доменных пользователях необходимо воспользоваться доменными групповыми политиками.
На этом все, друзья. Теперь вы без проблем сможете узнать когда и кем был осуществлен последний вход в систему. Вещь очень полезная, если вы не единственный пользователь компьютера или в случаях когда вы оставляете его на какое-то время без присмотра.
Вас также может заинтересовать статья «Блокировка Windows«, в которой мы рассказывали как быстро, буквально в один клик заблокировать систему, в случае если вам нужно на время отойти от компьютера.
4 способа узнать, пользовался ли кто-то компьютером в ваше отсутствие
Если у вас есть подозрения, что кто-то пользовался вашим компьютером втайне от вас, то это можно легко проверить. Это может понадобиться как дома, так и на работе. Существует несколько способов проверить, когда включался компьютер, в том числе с помощью сторонних программ.
Как узнать, когда включали и выключали компьютер
Проще всего воспользоваться встроенным приложением «Просмотр событий». Зайдите в поиск через меню «Пуск» и наберите название программы. Если так найти не получилось, то кликните правой кнопкой мыши по ярлыку «Этот компьютер» и выберите «Управление». Далее, в левой части экрана выберите «Просмотр событий».
Ищите папку «Журналы Windows» на левой панели. Затем выберите пункт «Система».
Теперь нужно оставить только те события, которые нас интересуют. Для этого кликните правой кнопкой мыши на пункте «Система» и выберите «Фильтр текущего журнала» или же найдите фильтр на панели в правой части окна программы.
В окне фильтра нужно совершить всего одно действие. В поле «Источники событий» найдите пункт Winlogon. Поставьте галочку и подтвердите свой выбор.
В журнале останутся только записи о входе и выходе из системы. На основании этого уже можно понять, когда компьютер включали и выключали. Если запись показывает время, когда вы не пользовались компьютером, значит, это сделал кто-то другой.
В качестве альтернативы можно использовать стороннюю программу. Это проще и не придется заходить в системные настройки системы. Скачайте бесплатную программу TurnedOnTimesView. У нее есть русскоязычный интерфейс, но его нужно устанавливать отдельно. Файл локализации нужно скинуть в папку с программой.
Как узнать, какие программы и файлы открывались
Через события Windows можно увидеть и другие действия пользователя. Однако представлены они в неудобном виде: кроме пользовательских программ отображаются еще и многочисленные системные процессы. Некоторую информацию можно посмотреть в реестре системы, куда мы не рекомендуем заходить неопытным пользователям. Поэтому гораздо проще использовать сторонние программы.
Будем использовать программы LastActivityView и ExecutedProgramsList. Они берут данные из уже упомянутого реестра и журнала Windows, поэтому сразу покажут всю картину. А не только то, что было сделано после установки.
Хорошо, что программа не только показывает, что было запущено, но и какой именно файл был открыт. Не забывайте, что в выдаче присутствуют и системные процессы, которые могли обращаться к файлам. Но если, к примеру, был открыт фильм в медиаплеере, то это точно дело рук пользователя.
Рекомендуем пользоваться сразу всеми инструментами, чтобы избежать ошибок. Убедитесь, что вы проверяете именно тот промежуток, когда компьютер использовался не вами.
Проверить историю браузера
Историю браузера легко почистить, поэтому вряд ли кто-то будет оставлять такие очевидные улики. Кроме того, в режиме инкогнито история тоже не сохраняется. Но если «нарушитель» плохо разбирается в компьютерах, то вероятность найти запросы все же есть.
Еще как вариант можно проверить поисковые запросы, которые хранятся в аккаунте Google. Как это сделать, мы подробно рассказали в материале «Как удалить историю поисковых запросов в Google».
Кроме того, даже если кто-то и почистил историю, он вполне мог стереть заодно и ваши запросы. Обращайте на это внимание.
Удаленные файлы и корзина
Еще один маловероятный вариант. После удаления файлов корзину, скорее всего, почистят. Учитывая, что удалять можно отдельные файлы, при этом ваши останутся висеть в корзине, заметить такие действия нельзя. Можно попробовать воспользоваться программами для восстановления данных, например Recuva. Она найдет удаленные файлы, и вы сможете увидеть, что именно удаляли без вашего ведома.
