Leitores como você ajudam a apoiar o MUO. Quando você faz uma compra usando links em nosso site, podemos ganhar uma comissão de afiliado. Consulte Mais informação.

O Windows permite que você crie várias contas de usuário para permitir que vários usuários usem um único computador. Mas e se você suspeitar que alguém acessou seu PC ou conta de usuário sem o seu conhecimento?

Embora monitorar fisicamente seu computador o tempo todo não seja viável para a maioria das pessoas, o O utilitário de log do Windows, Visualizador de Eventos, pode revelar as atividades recentes em seu computador, incluindo login tentativas. Aqui, mostramos como auditar tentativas de login malsucedidas e bem-sucedidas no Windows usando o Visualizador de eventos e outros métodos.

Como habilitar a auditoria de logon por meio do Editor de Diretiva de Grupo

Você precisa habilitar a auditoria de logon no Editor de Diretiva de Grupo para poder visualizar a auditoria de logon no Visualizador de Eventos. Embora esse recurso possa estar ativado por padrão em alguns computadores, você também pode ativar a auditoria de logon manualmente seguindo estas etapas.

instagram viewer

Observe que o Group Policy Editor está disponível apenas nas edições Pro, Edu e Enterprise do sistema operacional Windows. Se você estiver na edição Home, siga nosso guia para habilite o gpedit na edição inicial do Windows.

Observe que, se você não configurar sua Diretiva de Grupo para Auditoria de Logon, poderá exibir apenas as tentativas de logon bem-sucedidas no Visualizador de Eventos.

Depois de habilitar o Editor de Diretiva de Grupo, siga estas etapas para habilitar a auditoria de logon:

  1. Imprensa Vitória + R abrir Correr.
  2. Tipo gpedit.msc e clique OK para abrir o Editor de Diretiva de Grupo.
  3. Em seguida, navegue até o seguinte local:Configuração do computador > Configurações do Windows > Configurações de segurança > Políticas Locais > Política de auditoria
  4. No painel direito, clique com o botão direito do mouse em Auditoria de eventos de logon e selecione Propriedades.
  5. No Propriedades diálogo, selecione Sucesso e Falha opções sob o Auditar essas tentativas seção.
  6. Clique Aplicar e OK para salvar as alterações.

Feche o Editor de Diretiva de Grupo e passe para o próximo conjunto de etapas para exibir as tentativas de login no Visualizador de Eventos.

Como exibir tentativas de login com falha e bem-sucedidas no Visualizador de eventos

O Visualizador de eventos permite visualizar os logs do Windows para o aplicativo, segurança, sistema e outros eventos. Embora seja um aplicativo útil para solucionar problemas do sistema, você pode usá-lo para auditar eventos de login em seu PC com Windows.

Siga estas etapas para visualizar as tentativas de login malsucedidas e bem-sucedidas no Windows:

  1. aperte o Chave de vitória e digite visualizador de eventos. Como alternativa, clique em Procurar na barra de tarefas e digite visualizador de eventos.
  2. Clique em Visualizador de eventos a partir do resultado da pesquisa para abri-lo.
  3. No painel esquerdo, expanda o Registros do Windows seção.
  4. Em seguida, selecione Segurança.
  5. No painel direito, localize o Evento 4624 entrada. É uma ID de evento de logon do usuário e você pode encontrar várias instâncias dessa ID no log de eventos.
  6. Para encontrar tentativas de login com falha, localize Identificação do evento 2625 entradas em seu lugar.
  7. A seguir, selecione o Evento 4624 entrada que deseja visualizar e o Visualizador de eventos exibirá todas as informações relacionadas na seção inferior. Como alternativa, clique com o botão direito do mouse na entrada do evento e selecione Propriedades para visualizar informações detalhadas em uma nova janela.

Como decifrar as entradas de logon no Visualizador de eventos

Embora a ID de evento 4624 esteja associada a eventos de logon, você provavelmente encontrará várias instâncias dessa entrada ocorrendo a cada poucos minutos no log. Isso ocorre porque o Visualizador de Eventos registra todos os eventos de logon (seja da conta de usuário local ou de serviços do sistema, como a Segurança do Windows) com o mesmo ID de evento (Evento 4624).

Para identificar a origem do login, clique com o botão direito do mouse no registro do evento e selecione Propriedades. No Em geral guia, role para baixo e localize o informações de logon seção. Aqui o Tipo de logon campo indica o tipo de logon que ocorreu.

Por exemplo, Tipo de logon 5 indica um login baseado em serviço, enquanto Tipo de logon 2 indica login baseado no usuário. Saiba mais sobre os diferentes tipos de logon na tabela abaixo.

Em seguida, role para baixo até o Novo logon seção e localize o ID de segurança. Isso mostrará a conta de usuário que foi afetada pelo logon.

Da mesma forma, para tentativas de login com falha, revise Identificação do evento 4625. No Propriedades caixa de diálogo, você pode encontrar motivos para a tentativa de login com falha e a conta de usuário afetada. Se você encontrar várias instâncias de tentativas malsucedidas, considere aprender como limitar o número de tentativas de login com falha para proteger seu PC com Windows.

Abaixo está a lista de todos os nove Tipos de logon para eventos de logon que você pode encontrar revisando eventos de logon no Visualizador de Eventos:

Tipo de logon Descrição
Tipo de logon 2 Um usuário local fez logon neste computador.
Tipo de logon 3 Um usuário fez logon neste computador pela rede.
Tipo de logon 4 Tipo de logon em lote sem intervenção do usuário – Tarefas agendadas, etc.
Tipo de logon 5 Logon por serviço do sistema iniciado pelo Service Control Manager – tipo mais comum
Tipo de logon 7 Sistema desbloqueado por um usuário de conta local
Tipo de logon 8 NetworkClearText - Tentativa de logon na rede em que a senha foi enviada como texto não criptografado.
Tipo de logon 9 NewCredentials – disparado quando um usuário usa o comando RunAs com a opção /netonly para iniciar um programa.
Tipo de logon 10 RemoteInteractive – Gerado quando um computador é acessado por meio de uma ferramenta de acesso remoto, como a Conexão de Área de Trabalho Remota.
Tipo de logon 11 CachedInteractive – quando o usuário fez logon no computador por meio do console usando as credenciais armazenadas em cache quando o controlador de domínio não está disponível.

Como exibir o histórico do último logon usando o prompt de comando

Você pode usar o prompt de comando para visualizar a última tentativa de login. É uma maneira prática de encontrar tentativas de login com base no usuário sem ter que passar por todos os eventos de logon no Visualizador de Eventos.

Para visualizar o histórico de login de um usuário específico usando o prompt de comando:

  1. Imprensa Vitória + R abrir Correr.
  2. Tipo cmd. Enquanto segura o Tecla Ctrl + Shift, clique OK. Isso abrirá o Prompt de comando como administrador.
  3. Na janela Prompt de Comando, digite o seguinte comando e pressione Enter:administrador de usuário net | findstr /B /C:"último logon"
  4. No comando acima, substitua "administrador" pelo nome de usuário para visualizar o histórico de login.
  5. A saída mostrará a última hora e data de login para o usuário especificado.

Visualizando tentativas de login malsucedidas e bem-sucedidas no Windows

Se você suspeitar que alguém fez login no seu PC, o Visualizador de Eventos provavelmente detectará e registrará a tentativa. Para que isso funcione, você deve habilitar a política de Auditoria de Logon no Editor de Diretiva de Grupo. Você também pode usar o prompt de comando para visualizar o histórico de login de um usuário específico.

Dito isso, qualquer pessoa que conheça o Visualizador de Eventos pode facilmente limpar os logs. Portanto, reforçar a segurança do computador com Windows é a melhor maneira de impedir o acesso não autorizado. Você pode começar limitando o número de tentativas de login com falha em seu PC com Windows.