web-dev-qa-db-ja.com

Windows 7で誰かが私のアカウントにログインしているかどうかを確認するにはどうすればよいですか?

Windows 7では、不在時に誰かが私のアカウントにログインしたかどうかを知る方法はありますか?

具体的には、管理者権限を持つユーザーが何らかの方法で私のアカウントにアクセスしたかどうか(つまり、私の電子メールにアクセスするためなど)を知ることは可能ですか?

windows-7security
13
Erel Segal-Halevi

推奨される編集方法(下のスーザンキャノンに賛成投票してください):

  1. 押す Windows ボタン+ Reventvwr.mscと入力します。

  2. イベントビューアで、[Windowsログ]を展開し、[システム]を選択します。

  3. 中央には、日付と時刻、ソース、イベントID、タスクカテゴリのリストが表示されます。タスクカテゴリは、イベント、ログオン、特別なログオン、ログオフなどの詳細をかなり説明します。

イベントはWinlogon、イベントID 7001で呼び出されます。

イベントの詳細には、アカウントログオンのserSidが含まれます。これは、次を使用してコマンドプロンプトから取得したリストと照合できます。

wmic useraccount

お役に立てれば!

リストを表示するには、「PowerShell」を実行し、次のスクリプトをウィンドウに貼り付けます。

Get-EventLog system -Source Microsoft-Windows-Winlogon `
    | ? { $_.InstanceId -eq 7001 } `
    | ? {
            $sid = $_.ReplacementStrings[1]
            $objSID = New-Object System.Security.Principal.SecurityIdentifier ($sid)
            $objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
            $_ | Add-Member -Force -type NoteProperty -name User -value $objUser.Value
            return $true
        } `
    | ft -Property TimeGenerated,User

たくさんのシステムログインがあります。彼らは正常です。

探しているもの:イベントID 7001-Winlogon。

[詳細]タブで、serSidを探します。

ログインの表示は次のようになります。(win 8.1)これはwin 7ではおそらく異なるでしょう。

+ System
- EventData
   TSId        1
   User Sid    A-2-8-46-234435-6527-754372-3445

次に、スタートボタンを右クリックして選択することにより、コマンドプロンプトを開きます。

「wmic useraccount」と入力し、表示された長いリストでSIDを前のユーザー名と一致させます。

C:\Users\Superuser>wmic useraccount
AccountType  Caption  Description Disabled  Domain  FullName InstallDate
LocalAccount  Lockout  Name PasswordChangeable  PasswordExpires 
PasswordRequired  SID   SIDType  Status
512  ComputerName\Administrator   Built-in account for administering the
computer/domain  TRUE  ComputerName TRUE   FALSE  Administrator   TRUE
FALSE  TRUE A-2-8-46-234435-6527-754372-3447   1  Degraded

512  ComputerName\Superuser TRUE  ComputerName TRUE   FALSE  Superuser   TRUE
FALSE  TRUE **A-2-8-46-234435-6527-754372-3445**   1  Degraded

リストから、SuperuserがSIDと一致するアカウントであることがわかります。

24
Pathfinder

パスファインダーの答え イベントログをチェックすると、誰かがコンピューターにログインしたかどうかがわかります。ただし、アカウントで別のコンピューターにログインしたかどうかはわかりません。他のマシンからのログインを確認するには、そのマシンまたはドメインコントローラを確認する必要があります。

メールに関しては、別の話です。 Exchange管理者として、私は組織内の誰でもメールを読むことができます。正直なところ、そのアクセスがどこに記録されているかわかりません。そうなると確信していますが、それはExchange管理者だけが利用できます。

5
Keltari

企業ネットワークを使用している場合、これは機能しません。企業にはあらゆる種類の自動ログインがあります。イベント4648または4624のいずれかを確認したところ、オフィスに人がいないときでもログオンは正常にログに記録されています(PCにログインするために誰かがこっそり侵入しているわけでもありません)。それらの数千があります。 PCに一度ログインしただけで、4624の下に10のアクティビティソースがあります。10回ログインしていません。昨日4648で12回のログインがありましたが、その日は誰もPCに触れていませんでした。したがって、これは実際の人のログインの正確なリストではありません。

REALログイン情報が必要な場合は、Windowsログの下のSystemに移動し、イベント7001でフィルタリングします。これは成功です[〜#〜] winlogons [〜#〜]。これはユーザーログインに対応し、バックグラウンドでのシステムログインを除外します。これを使用して、PCへの実際のライブユーザーのログインの適切なリストを見つけました。

しかし残念ながら、それでもWHOにログインしたことはわかりません。毎日1マイルかかるため、弊社ではこれらの記録を保持していません。詳細でUserIDを確認しました。ログインしたばかりのUserIDは、表示されたすべてのログインで、他のすべてのUserIDと一致します。これは私のPCではないため、一部のログインは間違いなく私のPCではありません。だから私はその部分について知りません。

2
Susan Cannon

Windows 7 Ultimateはドメインに接続していますが、ローカルにログインしています。

セキュリティイベントログを確認したところ、「正当な」ログオンが見つかるのはID 4648のみであることがわかりました。これでうまくいきました。

0
user3590052