Как узнать кто подключался удаленно к моему компьютеру?
Существуют различные способы, позволяющие определить кто за время вашего отсутствия входил или совершил попытку входа в ваш компьютер. Это кейлоггеры и другие шпионские программы. Они позволяют получить максимум сведений о действиях «незваного гостя» на вашем ПК. Но если вам не нужны возможности клавиатурного шпиона, воспользуйтесь функционалом самой Windows.
Операционная система позволяет решить массу проблем без установки дополнительных программ и возможность узнать кто пытался проникнуть в компьютер это только одна из множества ее полезных функций. Ранее мы уже делали материал о возможности создания папок-невидимок на рабочем столе.
Как выяснить — кто входил в компьютер без вашего ведома
- Отслеживание несанкционированных входов в Windows в журнале событий операционной системы
- Получение сведений о посетителях в момент загрузки системы
Мониторинг позволяет формировать отчет обо всех удачных и провальных попытках войти в систему. В логе могут сохраняться данные за неделю или месяц. Все зависит от выставленных настроек.
Благодаря второму инструменту вы будете получать сведения о том, в какое время посторонний предпринял попытку или проник в устройство во время каждой авторизации в операционной системе.
Существует два способа для активации этой функции.
Определились со способом защиты компьютера? Тогда приступим к разбору первого способа.
Активируем журнал событий
Сохранение информации о том, кто входил в компьютер возможно только после включения этой функции. Нажимаем WIN+R для активации редактора групповой политики.
В открывшемся окне пишем команду gpedit.msc, кликаем ОК.
Обратите внимание. Не во всех версиях Windows имеется такой инструмент. Если редактора групповой политики в вашей операционке нет, рекомендуем обновить ее до Professional или воспользоваться вторым инструментом.
В редакторе кликаем «Политика Локальный компьютер». Далее заходим в «Конфигурация компьютера», выбираем «Конфигурация Windows». Находим кнопку «Параметры безопасности», идем в «Локальные политики», открываем «Политика аудита», выбираем пункт «Аудит входа в систему».
Переходим в «Свойства», ставим галочки напротив параметров «Успех», «Отказ».
Включение этой функции позволит Windows записывать все попытки входа с указанием времени и имени пользователя. Чтобы посмотреть отчеты в журнале нажмите «WIN+R» и введите команду «eventvwr». Кликаем «Журналы Windows», выбираем «Безопасность».
Сориентироваться в огромном списке событий поможет фильтр по действиям.
Способ узнать кто посещал компьютер при загрузке Windows
Приступаем к запуску редактора реестра. В 7 и 8 версиях Windows делаем это выбрав «Выполнить» в меню «Пуск». В появившемся окне вводим «regedit».
В 10 версии Windows можно вызвать окно аналогичным способом или через поиск.
В каталоге реестра «System» нужно создать новый параметр.
Переименовываем его в «DisplayLastLogonInfo».
В поле «Значение» ставим 1 и сохраняем изменения.
В результате откроется окно для авторизации.
После введения пароля отобразится окно с подробной информацией о дате и времени последнего успешного входа в систему и данные обо всех попытках, потерпевших неудачу. Процесс загрузки системы после прочтения информации можно активировать, нажав «ОК».
Нужно отметить, что даже компьютеры, относящиеся к домену Active Directory, для входа на который используются доменные учетные записи, в случае локального включения политики смогут отобразить только информацию с локальными учетными записями. Чтобы получать сведения о доменных пользователях необходимо включение доменных групповых политик.
С помощью наших советов вы сможете правильно выставить настройки и всегда будете знать кто и когда заходил в ваш компьютер. Это очень пригодится если компьютером пользуется кто-то еще или если вы вынуждены оставлять его без присмотра.
8 Способов Узнать, Что Кто-то Удаленно Просматривает Ваш Компьютер
Это может произойти, когда вы подключены к Интернету на своем устройстве. Если у вас есть небольшие сомнения, что кто-то шпионит за вашим компьютером удаленно, и вы хотите узнать, как определить, что к вашему ПК осуществляется удаленный доступ, то эта статья для вас.
Мы подскажем вам 8 лучших способов, как быстро определить, что кто-то просматривает ваш компьютер удаленно. Приведенные нами способы относятся как к компьютерам Windows, так и к компьютерам Mac.
Бонусный совет: Программное обеспечение для удаленного доступа к чужому компьютеру
Если вы хотите получить удаленный доступ к чужим компьютерам и проверить, что они делают на компьютере, вы можете обратиться за помощью к сторонним программам.
MoniVisor для Windows, работающий в фоновом режиме незаметно, является рекомендуемым сторонним инструментом, который помогает удаленно следить за другими ПК.
Основными возможностями MoniVisor for Win являются:
Отслеживать, с кем общается целевой пользователь, проверяя чаты в социальных сетях.
Отслеживать все электронные письма, отправленные или полученные через веб-программы электронной почты, например, при входе в учетную запись Gmail.
Доступ ко всей истории просмотров/загрузок целевого пользователя.
Делать автоматические скриншоты экрана целевого пользователя.
Отслеживать каждое нажатие клавиш, набранное на клавиатуре целевого ПК.
Эта программа безопасна в использовании и очень проста в освоении. Она также предлагает четкое руководство, которому вы можете следовать. Вы также можете сначала ознакомиться с бесплатной демонстрацией ниже, чтобы получить более подробную информацию о ее возможностях.
Как узнать, что кто-то получает удаленный доступ к моему компьютеру?
Как определить, что кто-то удаленно просматривает ваш компьютер, не является сложной задачей, но вы должны быть немного осторожны и сразу же развеять свои сомнения.
Вот 8 лучших способов узнать, взламывает ли кто-то ваш компьютер и удаленно следит за ним. Вы можете попробовать любой из них для подтверждения.
Способ 1: Отключите компьютер от Интернета
Все возможно благодаря интернету. Отсутствие интернета означает, что никто не может удаленно просматривать ваш компьютер; если вы сомневаетесь, что кто-то использует ваш компьютер так же, как и вы, немедленно отключите интернет.
Отключить интернет на панели задач может быть недостаточно, поскольку он может легко подключиться сам по себе. Вам нужно сделать что-то большее.
Шаги для отключения компьютера от интернета
Удалите кабели ethernet.
Забудьте сеть из настроек wifi.
Способ 2. Проверьте список недавно доступных файлов
Все мы помним последний доступ к файлу на нашем компьютере, если только не прошло много лет или кто-то не воспользовался нашим компьютером. Если вы почувствовали необычную активность на вашем компьютере PC или Mac, вашим немедленным шагом должна стать проверка файлов последнего доступа. Это прояснит, имеет ли кто-то доступ к вашему компьютеру.
Шаги для проверки списка недавно доступных файлов на ПК с Windows
Нажмите на ярлык панели задач.
Откройте окно проводника файлов и откройте папку с документами.
Выберите «быстрый доступ» в левой части окна проводника файлов. Или вы можете также нажать клавиши Windows + E. После этого появится список недавно просмотренных файлов. Если к какому-либо из файлов в этом списке вы не обращались, кто-то должен удаленно следить за вашим компьютером.
Шаги для проверки списка недавно просмотренных файлов на Mac
Проверьте недавние элементы:
Перейдите в строку меню на вашем Mac.
Затем нажмите на логотип Apple.
Подведите курсор к пункту «Недавние элементы», и на экране появится список из 10 последних просмотренных элементов, которые разделены на три категории — Приложения, Документы и Серверы. Если вы просмотрели все эти пункты, расслабьтесь; если нет, значит, за вами кто-то шпионит.
Проверьте недавние файлы:
Откройте окно Finder на вашем Mac.
Затем нажмите кнопку «Go» в строке меню.
Подведите курсор к пункту «Недавние файлы», и вы увидите 10 папок, к которым недавно обращались на вашем Mac. Если к любому из файлов в этих 10 папках вы не обращались, то вам нужно обратить на это внимание.
Способ 3: Проверить историю браузера на компьютере
Проверка истории браузера — это также способ определить, шпионит ли кто-то за вашим компьютером. Независимо от того, каким браузером вы пользуетесь, вы можете проверить его историю просмотров. Ниже мы подробно расскажем вам, как это сделать в некоторых основных браузерах на компьютере.
Шаги для проверки истории просмотров в Google Chrome
Перейдите в Google Chrome.
Нажмите на три точки в правом верхнем углу и выберите историю.
Откроется вся история вашего поиска. Теперь внимательно проанализируйте и посмотрите, все ли поисковые запросы вы выполняли. Если есть необычные поиски, возможно, кто-то удаленно следит за вашим компьютером.
Шаги для проверки истории просмотров в Mozilla Firefox
Откройте Mozilla Firefox на вашем компьютере.
Нажмите на иконку, которая выглядит как ряд книг и говорит «Просмотр истории, сохраненные закладки и многое другое» на панели меню.
Нажмите на «История» и проверьте действия по просмотру веб-страниц в этом браузере.
Шаги для проверки истории просмотров в Safari
Зайдите в Safari на устройстве Mac.
Нажмите на «История», а затем «Показать всю историю». Любой поиск, выполненный не вами, может быть признаком того, что кто-то удаленно просматривает ваше устройство.
Шаги для проверки истории просмотров в Internet Explorer
Запустите Internet Explorer.
Затем в прокручивающемся меню выберите "Панели проводника".
Нажмите на "История".
Шаги для проверки истории просмотров в Microsoft Edge
Запустите Microsoft Edge на компьютере.
Нажмите на значок "Центр" в строке меню.
Нажмите на "История".
Способ 4: Проверка недавно измененных файлов
Удаленный пользователь может не только просматривать ваши файлы, но и вносить в них изменения. Поэтому вы можете проверить историю "последних обращений к файлам на вашем компьютере, чтобы убедиться, что кто-то использовал ваш ПК удаленно.
Шаги для проверки недавно измененных файлов в Windows
Откройте «Проводник файлов» на вашем компьютере.
Чтобы выполнить поиск на всем компьютере, выберите опцию «Этот ПК».
Перейдите на вкладку «Поиск» и выберите опцию «Дата изменения», а затем выберите временной диапазон, который вы хотите проверить. Вы можете выбрать «Сегодня» или вернуться к прошлому месяцу.
Шаги для проверки недавно измененных файлов на Mac
Откройте Finder на вашем Mac, выберите "Файл" > "Найти".
Выберите "Вид", затем выберите "Другое" во всплывающем окне.
Выберите кнопку "OK", а затем снова нажмите "Вид". После этого в окне отобразятся Системные файлы. Нажмите кнопку "Системные файлы" и выберите опцию "включены" в выпадающем меню.
Нажмите на знак "+" в крайнем правом углу. Затем измените "Вид" на "Дата последнего изменения" и выберите временной диапазон, который вы хотите проверить, например, "Сегодня".
После этого вы увидите список файлов, которые были изменены сегодня на вашем Mac. Просто подтвердите, что вы изменили их сегодня.
Способ 5: Проверьте события входа в систему на вашем компьютере
Проверка активности входа в систему — еще один способ узнать, не следит ли кто-то удаленно за вашим устройством. Чтобы это выяснить, выполните простые шаги, приведенные ниже.
Шаги для проверки событий входа в систему на компьютере под управлением Windows
Перейдите в панель управления и нажмите на "Система и безопасность" и "Административные инструменты".
Затем нажмите "Просмотр событий". С левой стороны появится опция "Безопасность", нажмите на нее и дождитесь появления окна со всеми событиями входа в систему. Вы сможете обнаружить любого постороннего, проверив административные и стандартные входы и выходы.
Шаги для проверки событий входа в систему на Mac
Нажмите клавишу Command + пробел, чтобы вызвать Spotlight Search на вашем Mac.
Введите «Console» в поле поиска, затем нажмите Enter.
В следующем окне нажмите «Все сообщения».
Затем введите «wake», чтобы проверить все события входа в систему и временные метки.
Способ 6: Используйте диспетчер задач для обнаружения удаленного доступа
Диспетчер задач может помочь вам обнаружить удаленных пользователей в течение нескольких секунд. Это идеальный способ проверки тайных удаленных зрителей. На компьютере Windows он называется "Диспетчер задач", а на компьютере Mac — "Монитор активности".
Ниже описаны простые шаги по использованию диспетчера задач для обнаружения удаленного доступа на вашем компьютере.
Шаги по использованию диспетчера задач для обнаружения удаленного доступа в Windows
Откройте Диспетчер задач из меню панели задач и найдите один из предложенных ниже вариантов.
Затем вы можете проверить список запущенных программ на вашем компьютере.
Любая из программ, выполняемая не вами, является четкой идентификацией удаленного зрителя.
Шаги по использованию Activity Monitor для обнаружения удаленного доступа на Mac
Откройте Finder и щелкните в окне опцию «Приложения».
Откройте папку «Утилиты».
Затем дважды щелкните по приложению «Activity Monitor». После этого вы сможете увидеть все открытые процессы на вашем Macbook в разделе «Имя процесса».
Способ 7: Проверьте настройки брандмауэра
Не всем удобно пользоваться одним конкретным способом. Поэтому мы приводим еще один простой и эффективный способ обнаружения удаленных зрителей — проверка настроек брандмауэра.
Если вы обнаружите, что какая-то программа получила доступ к брандмауэру на вашем компьютере, а вы об этом не знаете, это может быть признаком того, что кто-то удаленно шпионит за вашим компьютером. Следуйте приведенным ниже простым шагам по проверке настроек брандмауэра и поймайте шпиона.
Шаги по проверке настроек брандмауэра в Windows
Зайдите в панель управления и нажмите на опцию "Брандмауэр Windows".
Если вы заметили, что какая-либо программа обошла ваш брандмауэр, не спросив вас, это может указывать на то, что программист предоставил ей дальний доступ.
В этом случае быстро удалите все недавние изменения в брандмауэре, перезагрузите компьютер и запустите антивирус, имеющийся на вашем компьютере, чтобы никакие факторы риска не остались позади.
Шаги для проверки настроек брандмауэра на Mac
Выберите System Preferences в меню Apple на вашем Mac.
Затем выберите "Безопасность и конфиденциальность", а затем вкладку "Брандмауэр".
Нажмите "Дополнительно", чтобы проверить настройки брандмауэра на Mac.
Способ 8: Сканирование компьютера на наличие вирусов и вредоносных программ
Сканирование компьютера на вирусы и вредоносные программы — это не только эффективный способ поймать удаленных зрителей, но и полезно для общего здоровья вашего компьютера. Она поможет обнаружить вирусы и т.д. на вашем компьютере, и вы сможете избавиться от них в мгновение ока, запустив программу.
Если вы новичок и хотите узнать, "как я могу определить, что кто-то удаленно шпионит за моим компьютером", выполните следующие шаги для сканирования вашего компьютера.
Шаги для сканирования вирусов и вредоносных программ на вашем компьютере
Для пользователей Windows:
Если вы хотите использовать встроенные инструменты для сканирования, зайдите в настройки и выберите "Обновление и безопасность", затем нажмите на "Безопасность Windows" и дождитесь появления программ сканирования. Запустите одну из этих программ и следуйте подсказкам на экране.
Для пользователей Mac:
Похоже, что в самом Mac нет встроенного инструмента для проверки на вирусы и вредоносные программы. Поэтому, если вы хотите сделать это, вам придется воспользоваться сторонними инструментами.
Как запретить кому-либо доступ к вашему компьютеру
Как предотвратить доступ посторонних к вашему компьютеру? Вам необходимо принять меры, чтобы защитить свой компьютер от этих соглядатаев. Ниже приведены три простых способа, которые помогут вам защитить свой компьютер.
Способ 1: Обновите свой пароль
Если ваш пароль устарел или его легко угадать, это означает, что любой человек может легко войти в систему. поэтому немедленно смените пароль и никому не говорите об этом.
Способ 2: Не забывайте блокировать экран
Если вы уверены, что ваш новый пароль достаточно надежен, второй шаг — выработать привычку блокировать экран каждый раз, когда вы отходите от ноутбука.
Это необходимо потому, что, когда вы блокируете экран, злоумышленник тоже выходит из системы, и ему понадобится пароль, чтобы войти снова. В большинстве устройств опция "блокировка экрана" находится рядом с опцией "выключение" в главном меню.
Способ 3: Выйти отовсюду
Еще один способ — выйти из системы везде. Это позволит выйти из системы и вам, и соглядатаям. Но хорошо то, что вы сможете снова войти в систему с новым паролем, а подглядывающий — нет. Таким образом, вам будет проще следить за активностью вашего компьютера.
Заключение
Существуют различные способы определить, что кто-то удаленно просматривает ваш компьютер, и мы рассмотрели некоторые из них, которые помогут вам обнаружить удаленный доступ на компьютерах windows и Mac. Надеемся, это может помочь. Или вы можете высказать свое мнение в разделе "Комментарий"!
вам также может понравиться:
Posté sur December 30, 2022 ( Mis à jour: December 30, 2022 )
Сертифицированный специалист по контент-маркетингу с большой страстью к интернету и онлайн-безопасности. Она стремится просвещать аудиторию о советах и хитростях кибербезопасности.
(Cliquez pour évaluer ce message)
Généralement évalué 4.7 ( 170 participé)
Évalué avec succès!
Vous avez déjà noté cet article!
Русский
Отказ от ответственности
ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ CLEVGUARD ПРЕДНАЗНАЧЕНО ТОЛЬКО ДЛЯ ПРАВОВОГО ИСПОЛЬЗОВАНИЯ. Установка Лицензионного программного обеспечения на устройство, в отношении которого у вас нет прав на мониторинг, может противоречить законам вашей страны или региона. Нарушение требований закона влечет за собой серьезную денежную и уголовную ответственность. Проконсультируйтесь со своим юридическим консультантом, чтобы получить профессиональное мнение о законности использования данного Лицензионного программного обеспечения так, как вы собираетесь его использовать. Вы берете на себя полную ответственность за его загрузку, установку и использование. ClevGuard не несет ответственности, если вы решите контролировать устройство без разрешения; ClevGuard также не может предоставить юридическую консультацию по использованию программного обеспечения для мониторинга. Все права, прямо не предоставленные здесь, сохраняются за ClevGuard.
как узнать кто подключался удаленно к компьютеру windows 10
Мониторинг активности и статуса подключенных удаленных клиентов.
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
примечание. Windows Server 2012 объединяет службу directaccess и службы удаленного доступа (RAS) в одну роль удаленного доступа.
Консоль управления на сервере удаленного доступа можно использовать для наблюдения за активностью и состоянием удаленных клиентов.
Для выполнения задач, описанных в этом разделе, необходимо войти в систему как член группы «Администраторы домена» или член группы «Администраторы» на каждом компьютере. Если вы не можете выполнить задачу, войдя в учетную запись, которая является членом группы «Администраторы», попробуйте выполнить задачу, войдя в учетную запись, которая является членом группы «Администраторы домена».
Мониторинг активности и состояния удаленных клиентов
В диспетчере серверов щелкните Средства и выберите пункт Управление удаленным доступом.
Вы увидите список пользователей, подключенных к серверу удаленного доступа, и подробную статистику по ним. Щелкните первую строку в списке, соответствующую клиенту. При выборе строки на панели предварительного просмотра отображается активность удаленных пользователей.
Windows PowerShell эквивалентные команды
Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.
Статистику пользователя можно фильтровать на основе выбора критериев, используя поля в следующей таблице.
Просмотр и анализ логов RDP подключений в Windows
В этой статье мы рассмотрим, особенности аудита / анализа логов RDP подключений в Windows. Как правило, описанные методы могут пригодиться при расследовании различных инцидентов на терминальных / RDS серверах Windows, когда от системного администратора требуется предоставить информацию: какие пользователи входили на RDS сервер, когда авторизовался и завершил сеанс конкретный пользователь, откуда / с какого устройства (имя или IP адрес) подключался RDP-пользователь. Я думаю, эта информация будет полезна как для администраторов корпоративных RDS ферм, так и владельцам RDP серверов в интернете (Windows VPS как оказалось довольно популярны).
Как и другие события, логи RDP подключения в Windows хранятся в журналах событий. Откройте консоль журнала событий (Event Viewer). Есть несколько различных журналов, в которых можно найти информацию, касающуюся RDP подключения.
В журналах Windows содержится большое количество информации, но быстро найти нужное событие бывает довольно сложно. Когда пользователь удаленно подключается к RDS серверу или удаленному столу (RDP) в журналах Windows генерируется много событий. Мы рассмотрим журналы и события на основных этапах RDP подключения, которые могут быть интересны администратору:
В результате у вас получится список с историей всех сетевых RDP подключений к данному серверу. Как вы видите, в логах указывается имя пользователя, домен (используется NLA аутентификация, при отключенном NLA текст события выглядит иначе) и IP адрес компьютера, с которого осуществляется RDP подключение.
При этом имя пользователя содержится в описании события в поле Account Name, имя компьютера в Workstation Name, а имя пользователя в Source Network Address.
Вы можете получить список событий успешных авторизаций по RDP (событие 4624) с помощью такой команды PowerShell.
Событие с EventID – 21 (Remote Desktop Services: Shell start notification received) означает успешный запуск оболочки Explorer (появление окна рабочего стола в RDP сессии).
При этом в журнале Security нужно смотреть событие EventID 4634 (An account was logged off).
Событие Event 9009 (The Desktop Window Manager has exited with code ( ) в журнале System говорит о том, что пользователь инициировал завершение RDP сессии, и окно и графический shell пользователя был завершен.
Ниже представлен небольшой PowerShell, который выгружает из журналов терминального RDS сервера историю всех RDP подключений за текущий день. В полученной таблице указано время подключения, IP адрес клиента и имя RDP пользователя (при необходимости вы можете включить в отчет другие типы входов).
Иногда бывает удобно с логами в таблице Excel, в этом случае вы можете выгрузить любой журнал Windows в текстовый файл и импортировать в Excel. Экспорт журнала можно выполнить из консоли Event Viewer (конечно, при условии что логи не очищены) или через командную строку:
WEVTUtil query-events Security > c:\ps\security_log.txt
Список текущих RDP сессий на сервере можно вывести командой:
Команда возвращает как идентификатор сессии (ID), имя пользователя (USERNAME)и состояние (Active/Disconnect). Эту команду удобна использовать, когда нужно определить ID RDP сессии пользователя при теневом подключении.
Список запущенных процессов в конкретной RDP сессии (указывается ID сессии):
На RDP-клиенте логи не такие информационные, основное чем часто пользуются информация об истории RDP подключений в реестре.
Быстрый ответ: Можно ли отследить удаленный доступ?
Как узнать у кого есть удаленный доступ к моему компьютеру?
Зайдите в Управление компьютером: В разделе Общие папки откройте раздел Сеансы: Вы увидите список активных подключений к вашему компьютеру. Здесь можно увидеть, какой пользователь подключился, с какого компьютера установлено подключение, просмотреть активность пользователя (колонка Время простоя).
Как определить есть ли удаленный доступ?
Как получить доступ к удаленному компьютеру?
Зайти в меню Пуск — Нажать правой кнопкой мыши Мой компьютер — в контекстном меню выбрать Свойства. В открывшемся окне с системной информацией, в правой части нажмите Настройка удаленного доступа. У вас открылось диалоговое окно Свойства системы, вкладка Удаленный доступ.
Как предотвратить удаленный доступ к компьютеру?
Отключение удаленного доступа в системном меню
На панели закладок, вверху, выбрать «Удаленный доступ». В разделе «Удаленный помощник» убрать отметку напротив «Разрешить подключение». В меню «Удаленный рабочий стол» установить отметку напротив «Не разрешать подключения». Нажать «ОК» и закрыть все системные окна.
Как узнать кто подключен к моему компьютеру по локальной сети?
Зайдите в Управление компьютером: В разделе Общие папки откройте раздел Сеансы: Вы увидите список активных подключений к вашему компьютеру. Здесь можно увидеть, какой пользователь подключился, с какого компьютера установлено подключение, просмотреть активность пользователя (колонка Время простоя).
Как узнать какое оборудование подключено к компьютеру?
Откройте Главное меню Windows, и нажмите на кнопку «Параметры»; В открывшемся списке нажмите на надпись «Система»; В меню слева выберите пункт «О системе»; В нижней части открывшегося окна нажмите на надпись «Диспетчер устройств».
Как настроить удаленный доступ к телефону?
До того как удаленно подключится к телефону, необходимо:
Как настроить удаленный доступ?
Как настроить подключение к удаленному рабочему столу Windows 7?
Как настроить подключение к удаленному рабочему столу Windows 10?
Для того, чтобы разрешить подключения к удаленному компьютеру, выполните на нем следующие действия:
Как отключить возможность удаленного доступа?
Жмем правой кнопкой мыши по значку «Этот компьютер» (или просто «Компьютер» в Windows 7) и переходим к свойствам системы. Далее идем в настройки удаленного доступа. В открывшемся окне ставим переключатель в положение, запрещающее подключение и нажимаем «Применить».
Как закрыть удаленный доступ от админа?
Конфигурация компьютера | Настройки Windows | Настройки безопасности | Местные Политики | Назначение прав пользователя. Найдите и дважды щелкните «Запретить вход через службы удаленных рабочих столов». Добавьте пользователя и / или группу, доступ к которой вы хотите запретить. Нажмите ОК
Как удалить подключение к удаленному рабочему столу?
В строке поиска введите “Диспетчер учетных данных” и выберите его из найденных результатов (также вы можете зайти в эти настройки через панель управления). 2. Зайдите в “Учетные данные Windows” => нажмите на TERMSRV с подключением данные которого вы хотите удалить => нажмите на “Удалить”.
4 способа узнать, пользовался ли кто-то компьютером в ваше отсутствие
Если у вас есть подозрения, что кто-то пользовался вашим компьютером втайне от вас, то это можно легко проверить. Это может понадобиться как дома, так и на работе. Существует несколько способов проверить, когда включался компьютер, в том числе с помощью сторонних программ.
Как узнать, когда включали и выключали компьютер
Проще всего воспользоваться встроенным приложением «Просмотр событий». Зайдите в поиск через меню «Пуск» и наберите название программы. Если так найти не получилось, то кликните правой кнопкой мыши по ярлыку «Этот компьютер» и выберите «Управление». Далее, в левой части экрана выберите «Просмотр событий».
Ищите папку «Журналы Windows» на левой панели. Затем выберите пункт «Система».
Теперь нужно оставить только те события, которые нас интересуют. Для этого кликните правой кнопкой мыши на пункте «Система» и выберите «Фильтр текущего журнала» или же найдите фильтр на панели в правой части окна программы.
В окне фильтра нужно совершить всего одно действие. В поле «Источники событий» найдите пункт Winlogon. Поставьте галочку и подтвердите свой выбор.
В журнале останутся только записи о входе и выходе из системы. На основании этого уже можно понять, когда компьютер включали и выключали. Если запись показывает время, когда вы не пользовались компьютером, значит, это сделал кто-то другой.
В качестве альтернативы можно использовать стороннюю программу. Это проще и не придется заходить в системные настройки системы. Скачайте бесплатную программу TurnedOnTimesView. У нее есть русскоязычный интерфейс, но его нужно устанавливать отдельно. Файл локализации нужно скинуть в папку с программой.
Как узнать, какие программы и файлы открывались
Через события Windows можно увидеть и другие действия пользователя. Однако представлены они в неудобном виде: кроме пользовательских программ отображаются еще и многочисленные системные процессы. Некоторую информацию можно посмотреть в реестре системы, куда мы не рекомендуем заходить неопытным пользователям. Поэтому гораздо проще использовать сторонние программы.
Будем использовать программы LastActivityView и ExecutedProgramsList. Они берут данные из уже упомянутого реестра и журнала Windows, поэтому сразу покажут всю картину. А не только то, что было сделано после установки.
Хорошо, что программа не только показывает, что было запущено, но и какой именно файл был открыт. Не забывайте, что в выдаче присутствуют и системные процессы, которые могли обращаться к файлам. Но если, к примеру, был открыт фильм в медиаплеере, то это точно дело рук пользователя.
Рекомендуем пользоваться сразу всеми инструментами, чтобы избежать ошибок. Убедитесь, что вы проверяете именно тот промежуток, когда компьютер использовался не вами.
Проверить историю браузера
Историю браузера легко почистить, поэтому вряд ли кто-то будет оставлять такие очевидные улики. Кроме того, в режиме инкогнито история тоже не сохраняется. Но если «нарушитель» плохо разбирается в компьютерах, то вероятность найти запросы все же есть.
Еще как вариант можно проверить поисковые запросы, которые хранятся в аккаунте Google. Как это сделать, мы подробно рассказали в материале «Как удалить историю поисковых запросов в Google».
Кроме того, даже если кто-то и почистил историю, он вполне мог стереть заодно и ваши запросы. Обращайте на это внимание.
Удаленные файлы и корзина
Еще один маловероятный вариант. После удаления файлов корзину, скорее всего, почистят. Учитывая, что удалять можно отдельные файлы, при этом ваши останутся висеть в корзине, заметить такие действия нельзя. Можно попробовать воспользоваться программами для восстановления данных, например Recuva. Она найдет удаленные файлы, и вы сможете увидеть, что именно удаляли без вашего ведома.
Как посмотреть, кто и чем занимался на компьютере в мое отсутствие: определяем последние действия «чужака».
Не подскажите, можно ли как-то посмотреть, кто и чем занимался на компьютере в мое отсутствие? И, если можно, как-нибудь бы защитить ПК от таких не званных гостей.
Вообще, для 100%-надежной защиты вашего ПК — он должен быть всегда при вас (тогда никто не сможет отформатировать диск, и посмотреть ваши данные).
Собственно, теперь об основном вашем вопросе: где и какую историю хранит Windows и как это посмотреть.
Не мешай! Всё уже и так записано на диске. (Евгений Кран, сайт: http://cartoon.kulichki.com/)
Как посмотреть последние действия: история работы
👉 Совет 1: анализируем журнал событий
В Windows есть спец. журналы, куда заноситься очень многое: когда включался и выключался компьютер, коды шибок, предупреждения и т.д. Нас же, разумеется, интересует время вкл./выкл. 😉
Чтобы открыть журнал : нажмите Win+R —> откроется окно «Выполнить» —> в него введите команду eventvwr.
После должно появиться окно событий — в нем нужно выбрать вкладку «Журналы Windows / Система» и открыть фильтр текущего журнала. Далее выбрать дату, установить галочку «Сведения» и нажать OK (см. мой пример ниже 👇).
Смотрим историю вкл. ПК за последние сутки
Теперь внимательно смотрим список событий: если вы их отфильтровали — список не будет большим. В первую очередь нас интересуют события «Power. « — в моем примере ниже (👇) показано, что кто-то вывел мой ПК в 7:59 по Москве.
Могли ли вы в это время использовать компьютер
Собственно, время, когда работал ПК мы уже знаем.
👉 Совет 2: смотрим документы и файлы, с которыми недавно работали
По умолчанию Windows помнит обо всех документах и файлах, которые вы недавно открывали (это делается с целью ускорения открытия файлов, с которыми часто работаете).
Чтобы посмотреть этот список (недавних документов*) — нажмите Win+R, и используйте команду shell:recent.
Далее у вас откроется системный каталог, в котором вы сможете отсортировать по дате изменения все файлы — ну и сравнить, с вашими рабочими часами за ПК (а заодно и узнаете, какими документами интересовались «гости» 😉).
Недавние документы отсортированные по дате
Ну и не могу не отметить, что если вы откроете свойства файла — то во вкладке «Подробно» проводник вам сможет подсказать даты доступа, печати и изменения документа.
Как посмотреть недавно открытые файлы в ОС Windows 10 (никак не могу найти вчерашний документ. )
👉 Совет 3: анализируем историю посещений в браузере
Кстати, в Chrome можно также перейти на страничку: chrome://history/
Ctrl+H — открыть историю
После, в журнале указываете нужную дату и уточняете какие сайты просматривались. 👌 (Кстати, многие пользуются соц. сетями — а значит можно будет быстро узнать кто заходил на свой профиль!).
1) Как посмотреть историю посещения сайтов, даже если она удалена
2) Как очистить историю посещения сайтов, чтобы нельзя было восстановить! Удаление всего кэша браузеров
👉 Совет 4: проверяем свой профиль Google
Кстати, если незваный «гость» на ПК пользовался сервисами Google — то вероятно вы сможете узнать, например, что он искал в поисковой системе (еще один «плюсик» к пакету информации 😉). Благо, что по умолчанию Google всю эту информацию собирает и «откладывает».
Профиль Google (браузер Chrome)
Далее «проматываете» до нужной даты и смотрите, какие поисковые запросы были сделаны. 👌
👉 Совет 5: просматриваем корзину, каталог загрузок
Папку «загрузки» можно открыть, нажав на Win+R, и использовав в меню «Выполнить» команду: shell:downloads.
Чтобы открыть корзину (даже если ее значка нигде нет): нажмите Win+R, и используйте команду Shell:RecycleBinFolder.
👉 Совет 6: как поймать с поличным «тайного работника» за вашим ПК
На мой взгляд, самый простой способ это сделать — воспользоваться спец. программами для контроля сотрудников (например, Clever Control ). Примечание : таких программ много, я просто привел одну из них.
Установка у Clever Control простая и интуитивно понятная, в процессе работы она будет незаметно фиксировать всё в спец. журнал (в т.ч. и делать снимки с веб-камеры, запоминать работающие программы, и т.д., в зависимости от ваших настроек).
Clever Control — одна из программ для контроля сотрудников (узнали, кто сидел за ПК!)
Т.е. о том, что вы ее установили к себе на ПК, и что она работает — никто не узнает, а просматривать что творится за вашей системой вы сможете в любое удобное для вас время (даже не находясь возле нее ( прим. : с другого компьютера)).
Таким образом вы сможете узнать кто и что делает за вашим ПК, причем так, что «виновник» даже не узнает о том, что он «попался». 😉
Просмотр и анализ логов RDP подключений в Windows
16.11.2022
itpro
PowerShell, Windows Server 2016, Windows Server 2019
комментария 82
В этой статье мы рассмотрим, как получить и проанализировать логи RDP подключений в Windows. Логи RDP подключений позволяют администраторам терминальных RDS серверов/ферм получить информацию о том, какие пользователи подключались к серверу, когда был выполнен вход и когда сеанс завершен, с какого устройства (имя или IP адрес) подключался пользователь.
События RDP подключений в журналах Windows (Event Viewer)
Когда пользователь удаленно подключается к RDS серверу или удаленному столу Windows (RDP), информация об этих событиях сохраняется в журналы Windows. Рассмотрим основные этапы RDP подключения и связанные с ними события в Event Viewer.
- Network Connection
- Authentication
- Logon
- Session Disconnect/Reconnect
- Logoff
Network Connection: – событие установления сетевого подключение к серверу от RDP клиента пользователя. Событие с EventID – 1149 (Remote Desktop Services: User authentication succeeded). Наличие этого события не свидетельствует об успешной аутентификации пользователя. Этот журнал находится в разделе Applications and Services Logs -> Microsoft -> Windows -> Terminal-Services-RemoteConnectionManager -> Operational. Включите фильтр по данному событию (ПКМ по журналу-> Filter Current Log -> EventId 1149).
С помощью PowerShell можно вывести список всех попыток RDP подключений:
В результате у вас получится список с историей всех сетевых RDP подключений к данному серверу. В событии содержится имя пользователя, домен (если используется NLA аутентификация, при отключенном NLA текст события выглядит иначе) и IP адрес компьютера пользователя.
Authentication: – успешная или неудачная аутентификация пользователя на сервере. Журнал Windows -> Security. Здесь нас могут интересовать события с EventID – 4624 (успешная аутентификация — An account was successfully logged on) или 4625 (ошибка аутентификации — An account failed to log on). Обратите внимание на значение LogonType в событии.
- LogonType = 10 или 3 — при входе через терминальную службу RDP —.
- LogonType = 7, значит выполнено переподключение к уже существующему RDP сеансу.
- LogonType = 5 – событие RDP подключения к консоли сервера (в режиме mstsc.exe /admin)
При этом имя пользователя содержится в описании события в поле Account Name, имя компьютера в Workstation Name, а имя пользователя в Source Network Address.
Вы можете получить список событий успешных авторизаций по RDP (событие 4624) с помощью такой команды PowerShell.
Get-EventLog security -after (Get-date -hour 0 -minute 0 -second 0) | ? <$_.eventid -eq 4624 -and $_.Message -match 'logon type:\s+(10)\s'>| Out-GridView
Logon: – RDP вход в систему, EventID – 21 (Remote Desktop Services: Session logon succeeded. Это событие появляется после успешной аутентификации пользователя. Этот журнал находится в разделе Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational. Как вы видите, здесь можно узнать идентификатор RDP сессии для пользователя — Session ID.
Событие с EventID – 21 (Remote Desktop Services: Shell start notification received) означает успешный запуск оболочки Explorer (появление окна рабочего стола в RDP сессии).
Session Disconnect/Reconnect – события отключения и переподключения к сессии имеют разные коды в зависимости от того, что вызвало отключение пользователя (отключение по неактивности, заданному в таймаутах для RDP сессий; выбор пункта Disconnect в сессии; завершение RDP сессии другим пользователем или администратором и т.д.). Эти события находятся в разделе журналов Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational. Рассмотрим RDP события, которые могут быть полезными:
- EventID – 24 (Remote Desktop Services: Session has been disconnected) – пользователь отключился от RDP сессии.
- EventID – 25 (Remote Desktop Services: Session reconnection succeeded) – пользователь переподключился к своей имеющейся RDP сессии на сервере.
- EventID – 39 (Session <A> has been disconnected by session <B>) – пользователь сам отключился от своей RDP сессии, выбрав соответствующий пункт меню (а не просто закрыл окно RDP клиента). Если идентификаторы сессий разные, значит пользователя отключил другой пользователь (или администратор).
- EventID – 40 (Session <A> has been disconnected, reason code <B>). Здесь нужно смотреть на код причины отключения в событии. Например:
- reason code 0 (No additional information is available) – обычно говорит о том, что пользователь просто закрыл окно RDP клиента.
- reason code 5 (The client’s connection was replaced by another connection) – пользователь переподключился к своей старой сессии.
- reason code 11 (User activity has initiated the disconnect) – пользователь сам нажал на кнопку Disconnect в меню.
Событие с EventID – 4778 в журнале Windows -> Security (A session was reconnected to a Window Station). Пользователь переподключился к RDP сессии (пользователю выдается новый LogonID).
Событие с EventID 4779 в журнале Windows -> Security (A session was disconnected from a Window Station). Отключение от RDP сеанса.
Logoff: – выход пользователя из системы. При этом в журнале Applications and Services Logs -> Microsoft -> Windows -> TerminalServices-LocalSessionManager -> Operational регистрируется событие с EventID 23 (Remote Desktop Services: Session logoff succeeded).
При этом в журнале Security нужно смотреть событие EventID 4634 (An account was logged off).
Событие Event 9009 (The Desktop Window Manager has exited with code (<X>) в журнале System говорит о том, что пользователь инициировал завершение RDP сессии, и окно и графический shell пользователя был завершен.
EventID 4647 — User-initiated logoff
Получаем логи RDP подключений в Windows с помощью PowerShell
Ниже представлен небольшой PowerShell скрипт, который выгружает из журналов терминального RDS сервера историю всех RDP подключений за текущий день. В полученной таблице указано время подключения, IP адрес клиента и имя пользователя (при необходимости вы можете включить в отчет другие типы входов).
Можно экспортировать логи RDP подключений из журнала в CSV файл (для дальнейшего анализа в таблице Excel). Экспорт журнала можно выполнить из консоли Event Viewer (при условии что логи не очищены) или через командную строку:
WEVTUtil query-events Security > c:\ps\security_log.txt
Или с помощью PowerShell:
get-winevent -logname «Microsoft-Windows-TerminalServices-LocalSessionManager/Operational» | Export-Csv c:\ps\rdp-log.csv -Encoding UTF8
Если ваши пользователи подключаются к RDS серверам через шлюз удаленных рабочих столов Remote Desktop Gateway, вы можете обрабатывать логи подключений пользователей по журналу Microsoft-Windows-TerminalServices-Gateway по EventID 302. Например, следующий PowerShell скрипт выведет полную историю подключений через RD Gateway указанного пользователя:
- 300 — The user %1, on client computer %2, met resource authorization policy requirements and was therefore authorized to connect to resource %4
- 302 — The user %1, on client computer %2, connected to resource %4
- 303 — The user %1, on client computer %2, disconnected from the following network resource: %4. Before the user disconnected, the client transferred %6 bytes and received %5 bytes. The client session duration was %7 seconds.
Список текущих RDP сессий на сервере можно вывести командой:
Команда возвращает как идентификатор сессии (ID), имя пользователя (USERNAME)и состояние (Active/Disconnect). Эту команду удобна использовать, когда нужно определить ID RDP сессии пользователя при теневом подключении.
Список запущенных процессов в конкретной RDP сессии (указывается ID сессии):
Логи RDP подключений на клиентах Windows
Также вы можете изучать логи исходящих подключений на стороне RDP клиента. Они доступны в журнале событий Application and Services Logs -> Microsoft -> Windows -> TerminalServices-ClientActiveXCore -> Microsoft-Windows-TerminalServices-RDPClient -> Operation.
Например, событие с Event ID 1102 появляется, когда компьютер устанавливает подключение с удаленным RDS хостом Windows Server или компьютером с Windows 10/11 с включенной службой RDP (десктопные версии Windows также поддерживают несколько одновременных rdp подключений).
Следующий RDP скрипт выведет историю RDP подключений на указанном компьютере (для получения событий Event Log используется командлет Get-WinEvent):