Как проверить несанкционированные входы в Windows через Просмотр событий

Введение

Windows позволяет создавать несколько учётных записей для разных пользователей. Если вы подозреваете несанкционированный доступ к компьютеру или учётной записи, не обязательно постоянно наблюдать за ПК — встроенные журналы фиксируют большинство действий. В этой статье подробно изложено, как:

• включить аудит попыток входа;
• найти успешные и неуспешные входы в Просмотре событий;
• расшифровать типы входа и поля событий;
• дополнительно — использовать команды, PowerShell, краткий план реагирования и рекомендации по защите.

Важно: в Windows Home локальный редактор групповой политики может отсутствовать; в этом случае используйте локальную политику безопасности или PowerShell.

Как включить аудит входов через Редактор локальной групповой политики

Прежде чем события о входах появятся в журнале безопасности, нужно включить аудит входов. На большинстве корпоративных установок это делается через редактор групповой политики (Group Policy Editor). Если у вас Windows Home, см. раздел «Альтернативные способы».

Примечание: Редактор групповой политики доступен в выпусках Pro, Education и Enterprise.

Шаги:

1. Нажмите Win + R, чтобы открыть окно “Выполнить”.

2. Введите gpedit.msc и нажмите OK, чтобы открыть Редактор локальной групповой политики.

3. Перейдите: Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy

4. В правой панели найдите “Audit logon events” и откройте свойства.

5. В диалоге отметьте опции “Success” и “Failure” (Успех и Неудача) в секции “Audit these attempts”.

6. Нажмите Apply и OK, затем закройте Редактор групповой политики.

Совет: изменение политики может потребовать перезагрузки или применения gpupdate /force.

Как просмотреть успешные и неуспешные входы в Просмотре событий

Просмотр событий (Event Viewer) хранит журналы безопасности, где отображаются записи аудита входа.

1. Нажмите Win, введите “event viewer” и откройте Приложение “Просмотр событий”.
2. В левой панели раскройте раздел Windows Logs.

3. Выберите раздел Security (Безопасность).
4. Ищите записи с Event ID 4624 — это успешные входы (User Logon).
5. Для неуспешных попыток ищите Event ID 4625.
6. Выберите интересующую запись; в нижней части окна появится краткая информация. Чтобы увидеть подробности, правой кнопкой мыши — Properties.

Если журнал слишком большой, применяйте фильтр по идентификатору события: в правой панели кликайте “Filter Current Log…” и укажите ID 4624 или 4625.

Как расшифровать запись входа в Просмотре событий

Каждое событие содержит блоки, важные для анализа. Откройте свойства события и обратите внимание на разделы:

• Logon Type — тип входа (локальный, по сети, удалённый и т. д.).
• New Logon > Security ID — SID учётной записи, на которую выполнен вход.
• Account Name — имя пользователя.
• Network Information > Workstation Name / Source Network Address — если вход по сети, здесь может быть имя машины или IP-адрес источника.
• Failure Information — причина неудачного входа (в событиях 4625).

Ниже приведены распространённые типы входа и краткое описание.

Пример: Logon Type 10 обычно указывает на подключение по RDP; если вы не ожидали удалённый вход — это тревожный сигнал.

Как просмотреть историю последнего входа через Командную строку

Иногда удобнее быстро получить время последнего входа для учётной записи. Используйте net user в администратора:

net user administrator | findstr /B /C:"Last logon"

Замените administrator на нужное имя учётной записи. Команда покажет дату и время последнего входа, если система её сохраняет.

Полезные PowerShell команды

PowerShell даёт гибкие инструменты для фильтрации журналов безопасности и экспорта результатов.

Примеры:

Команда — последние 50 успешных входов:

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} -MaxEvents 50 | Format-List TimeCreated, Id, Message

Команда — последние 50 неуспешных попыток:

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} -MaxEvents 50 | Format-List TimeCreated, Id, Message

Фильтр по пользователю (например, user1):

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} | Where-Object { $_.Message -match 'user1' } | Select-Object TimeCreated, Id, @{n='Account';e={[regex]::Match($_.Message,'Account Name:\s+(\S+)').Groups[1].Value}} | Format-Table -AutoSize

Совет: при массовом анализе выгружайте события в CSV и импортируйте в SIEM или Excel для корреляции.

Альтернативные способы отслеживания входов

• Локальная политика безопасности (secpol.msc) позволяет включать аудит на машинах без gpedit.
• wevtutil — утилита для экспорта и управления журналами из командной строки.
• Windows Event Forwarding (WEF) — пересылка событий на централизованный сервер для анализа в крупных средах.
• Сторонние решения (SIEM, EDR) собирают и коррелируют журналы с разных машин.

Что делать, если вы нашли подозрительные входы

Ниже — готовый поэтапный план реагирования (playbook) для быстрой проверки и действий.

Инцидент: обнаружена подозрительная запись входа в журнале.

Шаги:

1. Запишите ключевые метаданные события: время, Logon Type, Account, Source Network Address, Workstation Name.
2. Если вход выполнен удалённо (Logon Type 10/3/9), изолируйте машину от сети и смените пароли для скомпрометированных учётных записей.
3. Проверьте связанные события вокруг отметки времени: создание процессов, повышение привилегий, подключение новых служб.
4. Сохраните экспорт журнала безопасности (wevtutil epl Security security_backup.evtx) и создайте снимок системы/образ диска для последующего анализа.
5. Если подтверждён взлом, уведомьте команду ИБ и выполните восстановление из проверенной резервной копии.
6. После инцидента пересмотрите политики блокировки учётной записи, сложность паролей и настройку многофакторной аутентификации.

Рольовые контрольные списки

Для конечного пользователя:

• Проверить события 4624/4625 для своей учётной записи.
• Сменить пароль при подозрении на компрометацию.
• Включить блокировку экрана и использовать сложный пароль.

Для системного администратора:

• Включить аудит входов и настроить передачу событий на централизованный лог-сервер.
• Ограничить право на очистку журналов (разрешение “Clear Security Log”).
• Настроить Account Lockout Policy (порог блокировки) и MFA.

Для аналитика безопасности:

• Сравнить IP/имена машин с известными списками угроз.
• Коррелировать события безопасности с сетевыми логами и журналами EDR.
• Составить отчёт и рекомендации по повышению уровня защиты.

Критерии приёмки

• Включён аудит входов (Success и Failure) и появляются события 4624/4625.
• Для проверяемой учётной записи можно получить время последнего входа и сетевой источник (если применимо).
• Экспорт журнала создаётся и содержит требуемый временной диапазон.

Когда аудит входов не даст полной картины

• Записи могут быть очищены пользователем с административными правами. В таких случаях требуются резервные копии журналов или централизованный лог-сервер.
• Некоторые сервисные учётные записи генерируют много записей (шумы). Корреляция и фильтрация необходимы.
• Если злоумышленник имеет локальные привилегии SYSTEM, он может манипулировать журналами или включить скрытые механизмы.

Рекомендации по защите (Security hardening)

• Включите аудит входов и централизованную агрегацию логов.
• Настройте политику блокировки учётных записей (Account Lockout Policy) и разумную длительность блокировки.
• Ограничьте права на очистку журналов безопасности и администрирование.
• Внедрите многофакторную аутентификацию для удалённых подключений (RDP, VPN).
• Используйте BitLocker для защиты данных и отключайте ненужные службы.

Маленькая методология для регулярной проверки (еженедельный чек-лист)

1. Экспортировать последние 7 дней событий 4624 и 4625.
2. Фильтровать по учётным записям с высокой привилегией.
3. Проверить входы из неожиданных географических адресов или неизвестных машин.
4. Отметить и расследовать аномалии.

Фактбокс: ключевые идентификаторы событий

• 4624 — успешный вход (An account was successfully logged on).
• 4625 — неуспешная попытка входа (An account failed to log on).

Snippets и команды для быстрого использования

Экспорт журнала безопасности в evtx:

wevtutil epl Security C:\temp\security_backup.evtx

Поиск по журналу через wevtutil и фильтр по XML — для опытных администраторов.

Пример решения на основе flowchart

flowchart TD
  A[Обнаружено подозрительное событие] --> B{Logon Type}
  B -->|2| C[Проверить локальную активность]
  B -->|10| D[Проверить RDP и сетевые подключения]
  B -->|3| E[Проверить сетевые источники и IP]
  C --> F{Есть подозрения?}
  D --> F
  E --> F
  F -->|Да| G[Изолировать машину и сменить пароли]
  F -->|Нет| H[Мониторить и документировать]

Короткая версия для уведомления (образец сообщения)

Если нужно быстро уведомить ИБ-команду:

“Обнаружена подозрительная запись входа: Event ID 4625/4624, учётная запись: <имя>, время: <время>, источник: . Рекомендую изоляцию машины и сбор журнала безопасности для анализа.”

Заключение

Просмотр событий — эффективный встроенный инструмент для аудита входов в Windows. Важно правильно настроить аудит входов, регулярно проверять события 4624 и 4625, использовать PowerShell для выборки и иметь план реагирования на инциденты. Централизованная агрегация логов и ограничение прав администраторов значительно повышают устойчивость к попыткам сокрытия следов.

Примечание: если вы используете Windows Home и не можете открыть gpedit.msc, воспользуйтесь локальной политикой безопасности или PowerShell-скриптами для включения аудитирования.