Cách kiểm tra các lần đăng nhập thành công hoặc thất bại trên máy tính Windows của bạn
Windows cho phép bạn tạo nhiều tài khoản người dùng để cho phép nhiều người dùng sử dụng một máy tính. Nhưng nếu bạn nghi ngờ ai đó đã truy cập PC hoặc tài khoản người dùng của mình mà bạn không biết thì sao?
Mặc dù theo dõi vật lý máy tính của bạn mọi lúc là không khả thi đối với hầu hết mọi người, nhưng tiện ích nhật ký Windows tích hợp sẵn, Trình xem sự kiện, có thể tiết lộ các hoạt động gần đây trên máy tính của bạn, bao gồm cả các lần đăng nhập. Ở đây chúng tôi chỉ cho bạn cách kiểm tra các lần đăng nhập thất bại và thành công trong Windows bằng Trình xem sự kiện và các phương pháp khác.
Mục Lục
Cách bật Kiểm tra đăng nhập thông qua Trình chỉnh sửa chính sách nhóm
Bạn cần bật kiểm tra đăng nhập trong Trình chỉnh sửa chính sách nhóm để có thể xem kiểm tra đăng nhập trong Trình xem sự kiện. Mặc dù tính năng này có thể được bật theo mặc định trên một số máy tính, nhưng bạn cũng có thể bật kiểm tra đăng nhập theo cách thủ công bằng cách thực hiện theo các bước sau.
Lưu ý rằng Trình chỉnh sửa chính sách nhóm chỉ khả dụng trên phiên bản Pro, Edu và Enterprise của HĐH Windows. Nếu bạn đang sử dụng phiên bản Home, hãy làm theo hướng dẫn của chúng tôi để bật gpedit trong phiên bản Windows home.
Lưu ý rằng nếu bạn không định cấu hình Chính sách nhóm cho Kiểm tra đăng nhập, bạn chỉ có thể xem các lần đăng nhập thành công trong Trình xem sự kiện.
Khi bạn đã bật Trình chỉnh sửa chính sách nhóm, hãy làm theo các bước sau để bật kiểm tra đăng nhập:
- Nhấn Thắng + R mở Chạy.
- Loại hình gpedit.msc và bấm vào ĐƯỢC RỒI để mở Trình chỉnh sửa chính sách nhóm.
- Tiếp theo, điều hướng đến vị trí sau:
Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy - Trong ngăn bên phải, nhấp chuột phải vào Kiểm tra các sự kiện đăng nhập và chọn Đặc tính.
- bên trong Đặc tính hộp thoại, chọn Thành công và Thất bại tùy chọn dưới Kiểm tra những nỗ lực này tiết diện.
- Nhấp chuột Ứng dụng và ĐƯỢC RỒI để lưu các thay đổi.
Đóng Trình chỉnh sửa chính sách nhóm và chuyển sang tập hợp các bước tiếp theo để xem các lần đăng nhập trong Trình xem sự kiện.
Cách xem các lần đăng nhập thất bại và thành công trong Trình xem sự kiện
Trình xem sự kiện cho phép bạn xem nhật ký Windows cho ứng dụng, bảo mật, hệ thống và các sự kiện khác. Mặc dù là một ứng dụng hữu ích để khắc phục sự cố hệ thống, nhưng bạn có thể sử dụng ứng dụng này để kiểm tra các sự kiện đăng nhập trên PC Windows của mình.
Làm theo các bước sau để xem các lần đăng nhập thất bại và thành công trong Windows:
- Nhấn nút chìa khóa giành chiến thắng và gõ trình xem sự kiện. Ngoài ra, bấm vào Tìm kiếm trên thanh tác vụ và gõ trình xem sự kiện.
- Bấm vào Trình xem sự kiện từ kết quả tìm kiếm để mở nó.
- Trong ngăn bên trái, mở rộng Nhật ký Windows tiết diện.
- Tiếp theo, chọn Bảo vệ.
- Trong ngăn bên phải, xác định vị trí Sự kiện 4624 lối vào. Đó là ID sự kiện đăng nhập của người dùng và bạn có thể tìm thấy nhiều phiên bản của ID này trong nhật ký sự kiện.
- Để tìm các lần đăng nhập không thành công, hãy định vị ID sự kiện 2625 các mục thay thế.
- Tiếp theo, chọn các Sự kiện 4624 mục bạn muốn xem và Trình xem sự kiện sẽ hiển thị tất cả thông tin liên quan ở phần dưới cùng. Ngoài ra, nhấp chuột phải vào mục sự kiện và chọn Đặc tính để xem thông tin chi tiết trong một cửa sổ mới.
Cách giải mã các mục đăng nhập trong Trình xem sự kiện
Mặc dù ID sự kiện 4624 được liên kết với các sự kiện đăng nhập, bạn có thể sẽ tìm thấy nhiều trường hợp của mục nhập này xảy ra vài phút một lần trong nhật ký. Điều này là do Trình xem sự kiện ghi lại mọi sự kiện đăng nhập (dù là từ tài khoản người dùng cục bộ hay các dịch vụ hệ thống như Bảo mật Windows) với cùng một ID sự kiện (Sự kiện 4624).
Để xác định nguồn đăng nhập, nhấp chuột phải vào bản ghi sự kiện và chọn Đặc tính. bên trong Chung tab, cuộn xuống và xác định vị trí thông tin đăng nhập tiết diện. Ở đây, Loại đăng nhập trường cho biết loại đăng nhập đã xảy ra.
Ví dụ, Loại đăng nhập 5 cho biết đăng nhập dựa trên dịch vụ, trong khi Đăng nhập loại 2 cho biết đăng nhập dựa trên người dùng. Biết thêm về các loại đăng nhập khác nhau trong bảng dưới đây.
Tiếp theo, cuộn xuống phần đăng nhập mới phần và xác định vị trí ID bảo mật. Điều này sẽ hiển thị tài khoản người dùng bị ảnh hưởng bởi đăng nhập.
Tương tự, đối với những lần đăng nhập không thành công, hãy xem lại ID sự kiện 4625. bên trong Đặc tính thoại, bạn có thể tìm thấy lý do đăng nhập không thành công và tài khoản người dùng bị ảnh hưởng. Nếu bạn tìm thấy nhiều trường hợp đăng nhập không thành công, hãy cân nhắc tìm hiểu cách giới hạn số lần đăng nhập không thành công để bảo vệ PC Windows của bạn.
Dưới đây là danh sách của tất cả chín Các loại đăng nhập đối với các sự kiện đăng nhập mà bạn có thể gặp phải khi xem xét các sự kiện đăng nhập trong Trình xem sự kiện:
| Loại đăng nhập | Sự mô tả |
| Đăng nhập loại 2 | Một người dùng cục bộ đã đăng nhập vào máy tính này. |
| Đăng nhập loại 3 | Một người dùng đã đăng nhập vào máy tính này từ mạng. |
| Đăng nhập loại 4 | Loại đăng nhập hàng loạt mà không cần sự can thiệp của người dùng – Tác vụ theo lịch trình, v.v. |
| Loại đăng nhập 5 | Đăng nhập bằng dịch vụ hệ thống do Trình quản lý kiểm soát dịch vụ bắt đầu – Loại phổ biến nhất |
| Loại đăng nhập 7 | Hệ thống được mở khóa bởi người dùng tài khoản cục bộ |
| Đăng Nhập Loại 8 | NetworkClearText – Đã thử đăng nhập qua mạng nơi mật khẩu được gửi dưới dạng văn bản rõ ràng. |
| Kiểu đăng nhập 9 | Thông tin xác thực mới – được kích hoạt khi người dùng sử dụng lệnh RunAs với tùy chọn /netonly để khởi động chương trình. |
| Loại đăng nhập 10 | RemoteInteractive – Được tạo khi máy tính được truy cập thông qua một công cụ truy cập từ xa, chẳng hạn như Remote Desktop Connection. |
| Loại đăng nhập 11 | CachedInteractive – Khi người dùng đăng nhập vào máy tính thông qua bảng điều khiển bằng thông tin đăng nhập được lưu trong bộ nhớ cache khi bộ điều khiển miền không khả dụng. |
Cách xem lịch sử đăng nhập lần cuối bằng Command Prompt
Bạn có thể sử dụng Dấu nhắc Lệnh để xem lần đăng nhập cuối cùng. Đó là một cách thuận tiện để tìm các lần đăng nhập dựa trên người dùng mà không cần phải xem qua tất cả các sự kiện đăng nhập trong Trình xem sự kiện.
Để xem lịch sử đăng nhập của một người dùng cụ thể bằng Command Prompt:
- Nhấn Thắng + R mở Chạy.
- Loại hình cmd. Trong khi giữ Ctrl + phím Shiftnhấp chuột ĐƯỢC RỒI. Điều này sẽ mở Dấu nhắc lệnh với tư cách quản trị viên.
- Trong cửa sổ Dấu nhắc Lệnh, gõ lệnh sau và nhấn Enter:
net user administrator | findstr /B /C:"Last logon" - Trong lệnh trên, thay thế “quản trị viên” bằng tên người dùng để xem lịch sử đăng nhập của họ.
- Đầu ra sẽ hiển thị thời gian và ngày đăng nhập cuối cùng cho người dùng được chỉ định.
Xem các lần đăng nhập thất bại và thành công trong Windows
Nếu bạn nghi ngờ ai đó đã đăng nhập vào PC của mình, Trình xem sự kiện có thể sẽ bắt và ghi lại nỗ lực đó. Để làm việc này, bạn phải kích hoạt chính sách Kiểm tra đăng nhập trong Trình chỉnh sửa chính sách nhóm. Bạn cũng có thể sử dụng Dấu nhắc Lệnh để xem lịch sử đăng nhập của một người dùng cụ thể.
Điều đó nói rằng, bất kỳ ai biết cách sử dụng Trình xem sự kiện đều có thể dễ dàng xóa nhật ký. Vì vậy, nếu có bất cứ điều gì, tăng cường bảo mật máy tính Windows của bạn là cách tốt nhất để ngăn chặn truy cập trái phép. Bạn có thể bắt đầu bằng cách giới hạn số lần đăng nhập không thành công trên PC Windows của mình.