Гид по технологиям

Проверка входов в Windows: успешные и неудачные попытки

8 min read Безопасность Windows Обновлено 01 Dec 2025
Проверка входов в Windows — успешные и неудачные попытки
Проверка входов в Windows — успешные и неудачные попытки

проверка успешных и неудачных попыток входа в Windows

Windows позволяет создавать несколько учётных записей для разных пользователей. Если вы заподозрили посторонний доступ к компьютеру или учётной записи, не обязательно физически следить за ПК — встроенные журналы событий помогут увидеть, кто и когда пытался войти.

В этой статье: как включить аудит входа, как смотреть записи в Просмотре событий, как интерпретировать logon type и дополнительные практики защиты и реагирования.

Как включить аудит входа через Редактор локальной групповой политики

Чтобы Event Viewer начал записывать как успешные, так и неудачные попытки входа, включите аудит входа (Audit logon events) в редакторе групповой политики. На некоторых компьютерах это уже включено, но если вы видите только успешные попытки — значит политика не настроена.

Важно: Редактор групповой политики (gpedit.msc) доступен в редакциях Windows Pro, Education и Enterprise. Для Windows Home существуют обходные методы, но они выходят за рамки этой статьи.

Пошагово:

  1. Нажмите Win + R, чтобы открыть окно «Выполнить» (Run).
  2. Введите gpedit.msc и нажмите OK, чтобы открыть Редактор локальной групповой политики.
  3. Перейдите в: Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy

свойства Audit logon events в редакторе групповой политики

  1. В правой панели найдите Audit logon events, щёлкните правой кнопкой и выберите Properties.
  2. В окне свойств установите флажки Success и Failure (Успех и Отказ) в разделе Audit these attempts.

включение аудита входов в свойствах политики

  1. Нажмите Apply и OK, затем закройте редактор. Изменения вступят в силу сразу для текущей машины; для доменных политик требуется обновление групповой политики.

Примечание: современные практики предлагают использовать Advanced Audit Policy Configuration (Computer Configuration > Policies > Windows Settings > Advanced Audit Policy Configuration > Audit Policies > Logon/Logoff) для более тонкой настройки. В таком случае включайте Audit Logon — Success and Failure.

Как смотреть успешные и неудачные попытки входа в Просмотре событий (Event Viewer)

Просмотр событий показывает логи Windows по категориям: Application, Security, System и т.д. Аудит входов хранится в журнале Security.

Шаги:

  1. Откройте меню Пуск и начните вводить “event viewer” или “Просмотр событий”.
  2. Запустите Event Viewer.
  3. В левой панели раскройте Windows Logs и выберите Security.

журнал Security в Просмотре событий

  1. Для успешных входов ищите события с Event ID 4624.
  2. Для неудачных попыток ищите Event ID 4625.
  3. Щёлкните по записи — внизу отобразятся краткие сведения. Для полного описания правой кнопкой мыши откройте Properties.

Примечание: в старых статьях иногда встречается опечатка с ID 2625 — актуальные и распространённые ID для логонов: 4624 (успешный) и 4625 (неудачный).

Как расшифровывать записи входа в Event Viewer

Событие 4624 — Logon (успешный). Событие 4625 — Logon Failure (неудачный). Оба содержат похожие секции: Logon Type, New Logon (Security ID, Account Name), Workstation Name, Source Network Address и т. п.

Откройте свойства события и найдите раздел Logon information. Поле Logon Type отвечает за способ входа — локально, по сети, через удалённый рабочий стол и т.д. В разделе New Logon поле Security ID показывает, какую учётную запись затронул логон.

свойства события 4624 с данными логона

Таблица Logon Type

Logon TypeОписание
2Interactive — локальный вход через консоль (пользователь на машине).
3Network — доступ по сети (SMB, общий ресурс).
4Batch — пакетный вход, например Scheduled Tasks.
5Service — учётная запись сервиса, запущенного Service Control Manager.
7Unlock — разблокировка сеанса локальным пользователем.
8NetworkCleartext — пароль отправлен в явном виде по сети.
9NewCredentials — RunAs с параметром /netonly.
10RemoteInteractive — удалённый интерактивный вход (RDP).
11CachedInteractive — вход с кэшированными учетными данными (DC недоступен).

Эти типы помогают понять, был ли вход выполнен человеком у компьютера, службой или через сеть.

Как быстро найти последние входы конкретного пользователя (CMD и PowerShell)

Если нужно увидеть последний вход конкретного пользователя, можно использовать net user (практично для локальных учётных записей) или PowerShell для подробного поиска в журнале.

Пример через Command Prompt (запустите от имени администратора):

net user administrator | findstr /B /C:"Last logon"

Замените administrator на нужное имя учётной записи.

PowerShell — гибче и лучше для анализа больших логов. Примеры:

# Показать последние 50 неудачных попыток
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} -MaxEvents 50 | Format-List TimeCreated,Id,Message

# Фильтрация по конкретному имени аккаунта
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} -MaxEvents 200 |
Where-Object { $_.Properties[5].Value -eq 'UserNameHere' } |
Select-Object TimeCreated,Id,@{n='Account';e={$_.Properties[5].Value}}

Структура Properties в выводе может отличаться в зависимости от версии Windows и локали, поэтому при поиске по имени лучше просмотреть несколько событий для определения нужного индекса.

Дополнительные инструменты и команды (auditpol и Advanced Audit)

Для точной настройки аудита используйте auditpol.exe — он работает на всех версиях Windows и полезен при автоматизации.

Примеры:

# Включить аудит входов (Logon) — успех и отказ
auditpol /set /subcategory:"Logon" /success:enable /failure:enable

# Просмотреть текущие настройки аудита
auditpol /get /category:*

Advanced Audit Policy предпочтительнее классической Audit Policy, т.к. даёт больше категорий и совместим с доменными GPO. Если вы управляете несколькими машинами, настройка должна выполняться через доменную политику.

Что делать, если злоумышленник может очищать логи

Любой локальный администратор может очистить журналы. Чтобы усложнить сокрытие следов:

  • Централизуйте логи на отдельный сервер или SIEM (syslog, Windows Event Forwarding, Elastic, Splunk). Централизованные логи нельзя очистить локальной кнопкой “Clear Log” без аккуратного удаления данных из удалённого хранилища.
  • Ограничьте число администраторов и используйте привилегированные учётные записи только по необходимости.
  • Включите аудит действий привилегированных учётных записей.
  • Настройте оповещения на массовые неудачные попытки или очистку журнала.

Как ограничить количество неудачных попыток входа (Account Lockout)

В доменных и локальных политиках можно настроить Account Lockout Policy:

  • Account lockout threshold — число неудачных попыток перед блокировкой.
  • Account lockout duration — время блокировки.
  • Reset account lockout counter after — время сброса счётчика.

На локальной машине эти параметры находятся в: Computer Configuration > Windows Settings > Security Settings > Account Policies > Account Lockout Policy.

Для домашних пользователей можно включить Windows Hello и сложные пароли, чтобы снизить риск подборов.

Инцидентный план: что делать при подозрении на несанкционированный вход

Короткий runbook (шаги для быстрой реакции):

  1. Снимите копию Security-журнала (Export) из Event Viewer.
  2. Зафиксируйте время и соответствующие Event ID (4624/4625), сохраните записи.
  3. Определите учётную запись и источник входа (Source Network Address, Workstation Name, Logon Type).
  4. Смените пароли и откатите токены/сессии для скомпрометированных аккаунтов.
  5. Проверьте на предмет новых локальных администраторов и задач в планировщике.
  6. По возможности изолируйте ПК от сети и скопируйте логи на безопасное хранилище.
  7. Проведите анализ на наличие persistence-механизмов (службы, автозагрузка, Scheduled Tasks).
  8. При необходимости восстановите систему из резервной копии и измените секреты в домене/облаке.

Критерии приёмки: экспорт журналов завершён, подозрительная учётная запись заблокирована или сменён пароль, обнаруженные persistence-механизмы удалены или задокументированы.

Роли и короткие чек-листы

  • Домашний пользователь:

    • Включить аудит входа (если доступен gpedit)
    • Установить надежный пароль/Windows Hello
    • Включить BitLocker и антивирус
    • Сохранить экспорт журнала при подозрении

  • ИТ-специалист / Сисадмин:

    • Настроить Advanced Audit Policy через GPO
    • Централизовать логи (Windows Event Forwarding/SIEM)
    • Настроить оповещения на повторяющиеся Event ID 4625
    • Ограничить число администраторов и включить MFA

  • Эксперт по безопасности:

    • Анализировать цепочки входов, искать lateral movement
    • Проверять присутствие признаков persistence
    • Оценивать необходимость инцидентного расследования и уведомления

Модель зрелости аудита входов (упрощённо)

  • Уровень 0 — отсутствие аудита и логов: нет видимости.
  • Уровень 1 — локальный аудит включён: можно просмотреть события на машине.
  • Уровень 2 — централизованные логи и базовые оповещения: видимость в масштабе.
  • Уровень 3 — корреляция в SIEM, автоматические правила и реагирование: оперативное обнаружение и реакция.

Цель — перейти с уровня 1 или 2 на уровень 3 в зависимости от критичности инфраструктуры.

Быстрая шпаргалка (cheat sheet)

  • Event ID 4624 — успешный вход.
  • Event ID 4625 — неудачный вход.
  • Logon Type 2 — локальный; 10 — RDP; 3 — сетевой.
  • auditpol /get — показать текущие настройки аудита.
  • Get-WinEvent — гибкий поиск в PowerShell.

Decision flowchart

flowchart TD
  A[Подозрительная попытка входа] --> B{Имеются Event ID 4624/4625?}
  B -- Нет --> C[Включить аудит 'gpedit/auditpol' и ждать]
  B -- Да --> D[Экспортировать события и собрать доказательства]
  D --> E{Logon Type = 2 или 10?}
  E -- 2 --> F[Проверить физический доступ и локальные пользователи]
  E -- 10 --> G[Проверить RDP, источники и IP]
  F --> H[Поменять пароль, удалить лишних админов]
  G --> H
  H --> I{Обнаружен persistence?}
  I -- Да --> J[Удалить, восстановить из резервной копии]
  I -- Нет --> K[Мониторить и закрыть инцидент]

Короткий глоссарий

  • Audit logon events — политика, записывающая попытки входа.
  • Event Viewer (Просмотр событий) — встроенный просмотрщик журналов Windows.
  • SIEM — централизованное хранилище и корреляция логов.

Часто задаваемые вопросы

Какой лог показывает последнее успешное подключение по удалённому рабочему столу?

Смотрите Event ID 4624 с Logon Type 10. В сообщении будет указана Source Network Address — IP-адрес клиента.

Могу ли я восстановить очищенные локальные журналы?

Локально — нет. Если вы настроили централизованный сбор логов или сделали экспорт до очистки, данные доступны там. Поэтому централизованный сбор журналов критичен.

Нужен ли мне SIEM для домашнего ПК?

Для обычного домашнего пользователя SIEM не обязателен. Достаточно включить аудит, использовать сильные пароли, Windows Hello и регулярно проверять подозрительные события.

Итог

Event Viewer — простой и мощный способ увидеть, кто и как пытался войти в вашу Windows-систему. Чтобы он работал полноценно, включите аудит входов (Success и Failure), настройте централизованный сбор логов при возможности и следуйте краткому плану реагирования при подозрении на взлом: собрать логи, сменить пароли, проверить наличие persistence и ограничить доступ администраторам.

информация о неудачной попытке входа с деталями

Важное: регулярная настройка аудита и минимизация числа привилегированных аккаунтов значительно уменьшают риск скрытого доступа и упрощают расследование.

Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

Сброс аудионастроек в Windows 10
Windows

Сброс аудионастроек в Windows 10

Рабочий стол по умолчанию в Windows 10 и 8.1
Windows

Рабочий стол по умолчанию в Windows 10 и 8.1

Как поделиться местоположением в Instagram
Социальные сети

Как поделиться местоположением в Instagram

Смотреть 360° видео в Windows 10
Видео

Смотреть 360° видео в Windows 10

Установка сторонних APK на Android TV
How-to

Установка сторонних APK на Android TV

Night Light не работает в Windows — как исправить
Windows

Night Light не работает в Windows — как исправить