Läsare som du hjälper till att stödja MUO. När du gör ett köp med hjälp av länkar på vår webbplats kan vi tjäna en affiliate-provision. Läs mer.

Windows låter dig skapa flera användarkonton för att låta flera användare använda en enda dator. Men vad händer om du misstänker att någon har kommit åt din dator eller ditt användarkonto utan din vetskap?

Även om det inte är möjligt för de flesta att fysiskt övervaka din dator hela tiden, är den inbyggda Windows loggverktyg, Event Viewer, kan avslöja de senaste aktiviteterna på din dator, inklusive inloggning Försök. Här visar vi dig hur du granskar misslyckade och lyckade inloggningsförsök i Windows med hjälp av Event Viewer och andra metoder.

Hur man aktiverar inloggningsrevision via grupprincipredigerare

Du måste aktivera inloggningsgranskning i Group Policy Editor för att kunna se inloggningsgranskning i Event Viewer. Även om den här funktionen kan vara aktiverad som standard på vissa datorer, kan du även aktivera inloggningsgranskning manuellt genom att följa dessa steg.

instagram viewer

Observera att grupprincipredigeraren endast är tillgänglig på Pro-, Edu- och Enterprise-utgåvan av Windows OS. Om du är på Home-utgåvan, följ vår guide till aktivera gpedit i Windows Home Edition.

Observera att om du inte konfigurerar din gruppolicy för inloggningsgranskning kan du bara se de lyckade inloggningsförsöken i Event Viewer.

När du har aktiverat grupprincipredigeraren följer du dessa steg för att aktivera inloggningsgranskning:

  1. Tryck Win + R att öppna Springa.
  2. Typ gpedit.msc och klicka OK att öppna Grupppolicyredigerare.
  3. Navigera sedan till följande plats:Datorkonfiguration > Windows-inställningar > Säkerhetsinställningar > Lokala policyer > Revisionspolicy
  4. Högerklicka på i den högra rutan Granska inloggningshändelser och välj Egenskaper.
  5. I den Egenskaper dialog, välj Framgång och Fel alternativ under Granska dessa försök sektion.
  6. Klick Tillämpa och OK för att spara ändringarna.

Stäng grupprincipredigeraren och gå till nästa uppsättning steg för att se inloggningsförsök i Event Viewer.

Så här visar du misslyckade och lyckade inloggningsförsök i Event Viewer

De Loggboken låter dig visa Windows-loggar för programmet, säkerheten, systemet och andra händelser. Även om det är ett användbart program för att felsöka systemproblem, kan du använda det för att granska inloggningshändelser på din Windows-dator.

Följ dessa steg för att se misslyckade och lyckade inloggningsförsök i Windows:

  1. tryck på Win-nyckel och typ Loggboken. Alternativt klicka på Sök i aktivitetsfältet och skriv Loggboken.
  2. Klicka på Loggboken från sökresultatet för att öppna det.
  3. Expandera i den vänstra rutan Windows-loggar sektion.
  4. Välj sedan säkerhet.
  5. I den högra rutan, lokalisera Händelse 4624 inträde. Det är ett händelse-ID för användarinloggning, och du kan hitta flera instanser av detta ID i händelseloggen.
  6. För att hitta misslyckade inloggningsförsök, lokalisera Händelse-ID 2625 poster istället.
  7. Välj sedan Händelse 4624 posten du vill se, och Event Viewer kommer att visa all relaterad information i det nedre avsnittet. Alternativt högerklicka på händelseposten och välj Egenskaper för att se detaljerad information i ett nytt fönster.

Hur man dechiffrerar inloggningsposterna i Event Viewer

Även om Händelse-ID 4624 är associerat med inloggningshändelser, kommer du sannolikt att hitta flera instanser av denna post med några minuters mellanrum i loggen. Detta beror på att Event Viewer registrerar varje inloggningshändelse (oavsett om det kommer från det lokala användarkontot eller systemtjänster som Windows Security) med samma händelse-ID (Event 4624).

För att identifiera källan till inloggningen, högerklicka på händelseposten och välj Egenskaper. I den Allmän fliken, scrolla ner och leta reda på Inloggningsinformation sektion. Här, den Inloggningstyp fältet anger vilken typ av inloggning som inträffade.

Till exempel, Inloggningstyp 5 indikerar en tjänstebaserad inloggning, medan Inloggningstyp 2 indikerar användarbaserad inloggning. Lär dig mer om de olika inloggningstyperna i tabellen nedan.

Scrolla sedan ner till Ny inloggning avsnitt och lokalisera Säkerhets-ID. Detta kommer att visa användarkontot som påverkades av inloggningen.

På samma sätt, för misslyckade inloggningsförsök, granska Händelse-ID 4625. I den Egenskaper dialogrutan kan du hitta orsaker till det misslyckade inloggningsförsöket och det berörda användarkontot. Om du hittar flera fall av misslyckade försök, överväg att lära dig hur man begränsar antalet misslyckade inloggningsförsök för att skydda din Windows-dator.

Nedan är listan över alla nio Inloggningstyper för inloggningshändelser som du kan stöta på när du granskar inloggningshändelser i Event Viewer:

Inloggningstyp Beskrivning
Inloggningstyp 2 En lokal användare loggade in på den här datorn.
Inloggningstyp 3 En användare loggade in på den här datorn från nätverket.
Inloggningstyp 4 Batchinloggningstyp utan användaringripande – Schemalagda uppgifter, etc.
Inloggningstyp 5 Inloggning av systemtjänst som startas av Service Control Manager – Vanligaste typen
Inloggningstyp 7 Systemet låst upp av en lokal kontoanvändare
Inloggningstyp 8 NetworkClearText - Inloggningsförsök över nätverket där lösenordet skickades som klartext.
Inloggningstyp 9 NewCredentials – utlöses när en användare använder kommandot RunAs med alternativet /netonly för att starta ett program.
Inloggningstyp 10 RemoteInteractive – Genereras när en dator nås via ett fjärråtkomstverktyg som Remote Desktop Connection.
Inloggningstyp 11 CachedInteractive – När användaren loggade in på datorn via konsolen med hjälp av de cachade autentiseringsuppgifterna när domänkontrollanten inte är tillgänglig.

Hur man visar den senaste inloggningshistoriken med kommandotolken

Du kan använda kommandotolken för att se det senaste inloggningsförsöket. Det är ett praktiskt sätt att hitta användarbaserade inloggningsförsök utan att behöva gå igenom alla inloggningshändelser i Event Viewer.

Så här visar du inloggningshistoriken för en specifik användare med kommandotolken:

  1. Tryck Win + R att öppna Springa.
  2. Typ cmd. Medan du håller i Ctrl + Skift-tangenten, klick OK. Detta kommer att öppna Kommandotolken som administratör.
  3. I kommandotolksfönstret skriver du följande kommando och trycker på Retur:nätanvändaradministratör | findstr /B /C:"Senaste inloggningen"
  4. I kommandot ovan, ersätt "administratör" med användarnamnet för att se deras inloggningshistorik.
  5. Utdata kommer att visa senaste inloggningstid och datum för den angivna användaren.

Visa misslyckade och lyckade inloggningsförsök i Windows

Om du misstänker att någon har loggat in på din dator kommer Event Viewer sannolikt att fånga och registrera försöket. För att detta ska fungera måste du aktivera inloggningsrevisionspolicyn i Group Policy Editor. Du kan också använda kommandotolken för att se en specifik användares inloggningshistorik.

Som sagt, alla som känner sig runt Event Viewer kan enkelt rensa loggarna. Så, om något, stärka din Windows-datorsäkerhet är det bästa sättet att förhindra obehörig åtkomst. Du kan börja med att begränsa antalet misslyckade inloggningsförsök på din Windows-dator.