Sous Windows 7, existe-t-il un moyen de savoir si une personne s'est connectée à mon compte pendant mon absence?
Plus précisément, est-il possible de savoir si une personne disposant de privilèges d'administrateur a en quelque sorte saisi mon compte (c'est-à-dire pour pouvoir entrer dans mon courrier électronique, etc.)?
Méthode recommandée EDITED (Merci de voter Susan Cannon vers le bas ci-dessous):
Presse Windows bouton + R et tapez eventvwr.msc
.
Dans l'afficheur d'événements, développez Journaux Windows et sélectionnez Système.
Au milieu, vous verrez une liste avec date et heure, source, ID d'événement et catégorie de tâche. La catégorie de tâche explique à peu près l'événement, la connexion, la connexion spéciale, la déconnexion et d'autres détails.
Les événements seront appelés Winlogon, avec l'ID d'événement 7001.
Les détails de l'événement contiendront le serSid de connexion du compte, que vous pouvez faire correspondre à une liste obtenue à partir d'une invite de commande à l'aide de:
wmic useraccount
J'espère que cela t'aides!
Pour voir une liste, lancez "PowerShell" et collez le script suivant dans sa fenêtre:
Get-EventLog system -Source Microsoft-Windows-Winlogon `
| ? { $_.InstanceId -eq 7001 } `
| ? {
$sid = $_.ReplacementStrings[1]
$objSID = New-Object System.Security.Principal.SecurityIdentifier ($sid)
$objUser = $objSID.Translate( [System.Security.Principal.NTAccount])
$_ | Add-Member -Force -type NoteProperty -name User -value $objUser.Value
return $true
} `
| ft -Property TimeGenerated,User
Vous aurez un tas de connexions système. ils sont normaux.
Ce que vous chercherez: ID d'événement 7001 - Winlogon.
Sous l'onglet Détails, recherchez serSid
Une indication de login ressemblera à ceci: (win 8.1) Cela sera probablement différent dans win 7
+ System
- EventData
TSId 1
User Sid A-2-8-46-234435-6527-754372-3445
Ouvrez ensuite la commande Invite en cliquant avec le bouton droit sur le bouton Démarrer et en le sélectionnant.
Tapez "wmic useraccount" et faites correspondre le SID avec le nom d'utilisateur précédent dans la longue liste qui apparaît.
C:\Users\Superuser>wmic useraccount
AccountType Caption Description Disabled Domain FullName InstallDate
LocalAccount Lockout Name PasswordChangeable PasswordExpires
PasswordRequired SID SIDType Status
512 ComputerName\Administrator Built-in account for administering the
computer/domain TRUE ComputerName TRUE FALSE Administrator TRUE
FALSE TRUE A-2-8-46-234435-6527-754372-3447 1 Degraded
512 ComputerName\Superuser TRUE ComputerName TRUE FALSE Superuser TRUE
FALSE TRUE **A-2-8-46-234435-6527-754372-3445** 1 Degraded
Nous voyons dans la liste que superutilisateur est le compte correspondant au SID.
La réponse de Pathfinder à la vérification du journal des événements vous permet de savoir si une personne s'est connectée à votre ordinateur. Cependant, cela ne vous dira pas s'ils se sont connectés à un autre ordinateur avec votre compte. Vous devrez vérifier cette machine ou un contrôleur de domaine pour voir les connexions depuis d'autres machines.
En ce qui concerne les emails, c'est une autre histoire. En tant qu'administrateur Exchange, je peux lire les emails de quiconque au sein de notre organisation. Honnêtement, je ne sais pas si cet accès est enregistré quelque part. Je suis sûr que ce serait le cas, mais cela ne serait disponible que pour les administrateurs Exchange.
Si vous êtes sur un réseau d'entreprise, cela ne fonctionnera pas. Les entreprises ont toutes sortes de connexions automatiques. J'ai consulté l'un ou l'autre des événements 4648 ou 4624 et les ouvertures de session sont enregistrées avec succès même lorsque personne ne se trouve au bureau (et non, personne ne se faufile pour se connecter à un ordinateur). Il y en a des milliers. Je viens juste de me connecter au PC une fois et il y a 10 sources d'activité de moins de 4624. Je ne me suis pas connecté 10 fois. Il y avait 12 connexions hier sous 4648, mais personne n'a touché l'ordinateur du tout ce jour-là. Donc, ce n'est pas une liste précise des connexions de personne réelle.
Si vous souhaitez obtenir les informations de connexion REAL, accédez à Système sous Journaux Windows et filtrez l'événement 7001 . C'est réussi WINLOGONS. Cela correspond aux connexions utilisateur et exclut les connexions système en coulisse. À l'aide de cela, j'ai trouvé la liste appropriée des connexions utilisateur réelles aux utilisateurs en direct sur le PC.
Mais malheureusement, cela ne me dit toujours pas qui est connecté. Notre entreprise ne conserve pas ces registres, car chaque jour, ce serait long. Je regarde UserID dans les détails et l'identifiant pour lequel je me connecte correspond maintenant à tous les autres identifiants sous chaque login indiqué. Et ce n’est pas mon PC, donc certaines des connexions ne sont certainement pas les miennes. Donc, je ne sais pas pour cette partie.
Windows 7 Ultimate connecté à un domaine, mais en se connectant localement.
Je viens de parcourir le journal des événements de sécurité et je me suis rendu compte que la seule fois où je pouvais trouver des ouvertures de session "légitimes" était un identifiant 4648 . Cela a fonctionné pour moi.