خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

چگونه تلاش های موفقیت آمیز یا ناموفق ورود را در رایانه ویندوز خود بررسی کنید

ارشیا یوسفی ادیب ۲۶ فروردین, ۱۴۰۳ 5 min read

آیا مشکوک هستید که شخصی سعی دارد به حساب رایانه ویندوز شما نفوذ کند؟ در اینجا نحوه تنظیم یک ردیاب برای تلاش برای ورود به سیستم آمده است.

ویندوز به شما امکان می دهد چندین حساب کاربری ایجاد کنید تا چندین کاربر از یک رایانه استفاده کنند. اما اگر مشکوک باشید که شخصی بدون اطلاع شما به رایانه شخصی یا حساب کاربری شما دسترسی پیدا کرده است، چه؟

در حالی که نظارت فیزیکی دائمی بر رایانه شما برای اکثر افراد امکان پذیر نیست، ابزار داخلی Windows Log، Event Viewer، می تواند فعالیت های اخیر رایانه شما، از جمله تلاش برای ورود به سیستم را نشان دهد. در اینجا ما به شما نشان می دهیم که چگونه تلاش های ناموفق و موفقیت آمیز ورود به سیستم را در ویندوز با استفاده از Event Viewer و روش های دیگر بررسی کنید.

نحوه فعال کردن حسابرسی ورود از طریق ویرایشگر خط مشی گروه

شما باید حسابرسی ورود به سیستم را در ویرایشگر خط مشی گروه فعال کنید تا بتوانید ممیزی ورود به سیستم را در Event Viewer مشاهده کنید. در حالی که این ویژگی ممکن است به طور پیش فرض در برخی از رایانه ها فعال باشد، می توانید با دنبال کردن این مراحل، حسابرسی ورود به سیستم را به صورت دستی فعال کنید.

توجه داشته باشید که Group Policy Editor فقط در نسخه Pro، Edu و Enterprise سیستم عامل ویندوز موجود است. اگر در نسخه Home هستید، راهنمای ما را برای فعال کردن gpedit در نسخه خانگی ویندوز دنبال کنید.

توجه داشته باشید که اگر خط مشی گروه خود را برای حسابرسی ورود پیکربندی نکنید، فقط می توانید تلاش های موفقیت آمیز ورود به سیستم را در Event Viewer مشاهده کنید.

هنگامی که ویرایشگر خط مشی گروه را فعال کردید، این مراحل را برای فعال کردن حسابرسی ورود دنبال کنید:

  1. Win + R را فشار دهید تا Run باز شود.
  2. gpedit.msc را تایپ کنید و روی OK کلیک کنید تا Group Policy Editor باز شود.
  3. سپس به مکان زیر بروید: پیکربندی رایانه > تنظیمات ویندوز > تنظیمات امنیتی > سیاست های محلی > سیاست حسابرسی
  4. در قسمت سمت راست، روی رویدادهای ورود حسابرسی کلیک راست کرده و Properties را انتخاب کنید.
  5. در گفتگوی Properties، گزینه‌های Success and Failure را در بخش Audit these efforts انتخاب کنید.
  6. برای ذخیره تغییرات روی Apply و OK کلیک کنید.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy

ویرایشگر خط مشی گروه ویژگی رویدادهای ورود به سیستم را بررسی می کندویژگی های رویدادهای ورود به سیستم حسابرسی ویرایشگر خط مشی گروه فعال می شود

ویرایشگر خط مشی گروه را ببندید و برای مشاهده تلاش های ورود به سیستم در Event Viewer به مجموعه مراحل بعدی بروید.

مطلب مرتبط:   بلوتوث در ویندوز 10 کار نمی کند؟ 10 راه برای رفع مشکلات جفت شدن

نحوه مشاهده تلاش های ورود ناموفق و موفقیت آمیز در Event Viewer

Event Viewer به شما امکان می دهد گزارش های ویندوز را برای برنامه، امنیت، سیستم و سایر رویدادها مشاهده کنید. در حالی که یک برنامه کاربردی مفید برای عیب یابی مشکلات سیستم است، می توانید از آن برای بررسی رویدادهای ورود به سیستم در رایانه شخصی ویندوز خود استفاده کنید.

برای مشاهده تلاش های ناموفق و موفقیت آمیز برای ورود به سیستم در ویندوز مراحل زیر را دنبال کنید:

  1. کلید Win را فشار دهید و نمایشگر رویداد را تایپ کنید. یا روی جستجو در نوار وظیفه کلیک کنید و نمایشگر رویداد را تایپ کنید.
  2. روی Event Viewer از نتیجه جستجو کلیک کنید تا باز شود.
  3. در قسمت سمت چپ، بخش Windows Logs را گسترش دهید.
  4. سپس Security را انتخاب کنید.
  5. در قسمت سمت راست، ورودی Event 4624 را پیدا کنید. این شناسه رویداد ورود کاربر است و ممکن است چندین نمونه از این شناسه را در گزارش رویداد بیابید.
  6. برای یافتن تلاش‌های ناموفق برای ورود به سیستم، در عوض ورودی‌های شناسه رویداد 2625 را پیدا کنید.
  7. در مرحله بعد، ورودی Event 4624 را که می‌خواهید مشاهده کنید، انتخاب کنید و Event Viewer تمام اطلاعات مرتبط را در قسمت پایین نمایش می‌دهد. همچنین، روی ورودی رویداد کلیک راست کرده و Properties را انتخاب کنید تا اطلاعات دقیق را در یک پنجره جدید مشاهده کنید.

ورود به سیستم امنیتی نمایشگر رویداد

نحوه رمزگشایی ورودی های ورود در Event Viewer

در حالی که شناسه رویداد 4624 با رویدادهای ورود به سیستم مرتبط است، احتمالاً چندین نمونه از این ورودی را خواهید دید که هر چند دقیقه در گزارش رخ می دهد. این به این دلیل است که Event Viewer هر رویداد ورود به سیستم (چه از حساب کاربری محلی یا سرویس‌های سیستمی مانند Windows Security) را با همان شناسه رویداد (رویداد 4624) ضبط می‌کند.

مطلب مرتبط:   چگونه ببینید چه کسی به فایل‌های Google Drive شما دسترسی دارد

ویژگی های رویداد ورود به سیستم امنیتی بیننده رویداد

برای شناسایی منبع ورود، روی رکورد رویداد کلیک راست کرده و Properties را انتخاب کنید. در تب General به پایین اسکرول کنید و قسمت Logon information را پیدا کنید. در اینجا، قسمت Logon Type نوع ورود به سیستم را نشان می دهد.

به عنوان مثال، Logon Type 5 یک ورود مبتنی بر سرویس را نشان می دهد، در حالی که Logon Type 2 نشان دهنده ورود مبتنی بر کاربر است. درباره انواع مختلف ورود به سیستم در جدول زیر بیشتر بدانید.

جزئیات ویژگی های رویداد ورود به سیستم امنیتی بیننده رویداد 1

سپس به قسمت New Logon بروید و شناسه امنیتی را پیدا کنید. این حساب کاربری را نشان می دهد که تحت تأثیر ورود قرار گرفته است.

رویداد ورود به سیستم امنیتی نمایشگر رویداد شکست خورد

به طور مشابه، برای تلاش‌های ناموفق برای ورود، شناسه رویداد 4625 را مرور کنید. در گفتگوی Properties، می‌توانید دلایل تلاش ناموفق برای ورود به سیستم و حساب کاربری آسیب‌دیده را بیابید. اگر چندین نمونه از تلاش های ناموفق پیدا کردید، یاد بگیرید که چگونه تعداد تلاش های ناموفق برای ورود به سیستم را برای محافظت از رایانه شخصی ویندوز خود محدود کنید.

در زیر لیستی از تمام نه نوع ورود به سیستم برای رویدادهای ورود وجود دارد که ممکن است در بررسی رویدادهای ورود به سیستم در Event Viewer با آنها مواجه شوید:

نوع ورود

شرح

لاگین نوع 2

یک کاربر محلی به این رایانه وارد شده است.

لاگین نوع 3

کاربری از شبکه به این رایانه وارد شده است.

لاگین نوع 4

نوع ورود دسته ای بدون دخالت کاربر – وظایف برنامه ریزی شده و غیره.

لاگین نوع 5

ورود به سیستم توسط سرویس سیستم شروع شده توسط Service Control Manager – رایج ترین نوع

لاگین نوع 7

قفل سیستم توسط یک کاربر حساب محلی باز شد

لاگین نوع 8

NetworkClearText – ورود از طریق شبکه ای که رمز عبور به صورت متن واضح ارسال شده بود، انجام شد.

نوع لاگین 9

NewCredentials – زمانی که کاربر از دستور RunAs با گزینه /netonly برای شروع یک برنامه استفاده می کند، فعال می شود.

لاگین نوع 10

RemoteInteractive – زمانی ایجاد می شود که از طریق یک ابزار دسترسی از راه دور مانند Remote Desktop Connection به رایانه دسترسی داشته باشید.

مطلب مرتبط:   آیا کلیدهای بازی ایمن هستند؟

نوع لاگین 11

CachedInteractive – زمانی که کاربر از طریق کنسول با استفاده از اعتبارنامه های ذخیره شده در حافظه پنهان وارد رایانه می شود، زمانی که کنترل کننده دامنه در دسترس نیست.

نحوه مشاهده آخرین تاریخچه ورود با استفاده از خط فرمان

مشاهده خط فرمان آخرین تلاش برای ورود کاربر خاص

می توانید از Command Prompt برای مشاهده آخرین تلاش برای ورود به سیستم استفاده کنید. این یک راه مفید برای یافتن تلاش‌های ورود مبتنی بر کاربر بدون نیاز به مرور همه رویدادهای ورود به سیستم در Event Viewer است.

برای مشاهده تاریخچه ورود یک کاربر خاص با استفاده از Command Prompt:

  1. Win + R را فشار دهید تا Run باز شود.
  2. cmd را تایپ کنید. در حالی که کلید Ctrl + Shift را نگه داشته اید، روی OK کلیک کنید. با این کار Command Prompt به عنوان مدیر باز می شود.
  3. در پنجره Command Prompt دستور زیر را تایپ کرده و Enter:net user administrator | را فشار دهید findstr /B /C: “آخرین ورود به سیستم”
  4. در دستور بالا، نام کاربری را جایگزین “administrator” کنید تا تاریخچه ورود آنها را مشاهده کنید.
  5. خروجی آخرین زمان و تاریخ ورود به سیستم را برای کاربر مشخص شده نشان می دهد.
net user administrator | findstr /B /C:"Last logon"

مشاهده تلاش های ورود ناموفق و موفقیت آمیز در ویندوز

اگر مشکوک هستید که شخصی وارد رایانه شخصی شما شده است، Event Viewer احتمالا تلاش را می گیرد و ضبط می کند. برای انجام این کار، باید خط مشی حسابرسی ورود به سیستم را در ویرایشگر خط مشی گروه فعال کنید. همچنین می توانید از Command Prompt برای مشاهده تاریخچه ورود یک کاربر خاص استفاده کنید.

با این اوصاف، هر کسی که راه خود را در مورد Event Viewer بداند، می‌تواند به راحتی گزارش‌ها را پاک کند. بنابراین، در هر صورت، تقویت امنیت رایانه ویندوز شما بهترین راه برای جلوگیری از دسترسی غیرمجاز است. می توانید با محدود کردن تعداد تلاش های ناموفق برای ورود به سیستم در رایانه شخصی ویندوزی خود شروع کنید.

Tags: