Бывает нужно оперативно посмотреть, кто осуществлял вход в систему. Сделать это можно посмотрев журналы безопасности. В них за события входа отвечают события с EventID 4624, соответственно можно отфильтровать журнал по этому событию, но в данном случае может быть очень много ненужной информации, например о событиях от служб и т.п. Чтобы несколько упростить задачу можно отфильтровать события по содержимому. В каждом событии входа указывается Logon Type. Например, для входа по rdp он 10, для локального – 2. Про типы входов можно почитать тут — https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4624
Увы, простые фильтры не позволяют делать фильтрацию по содержимому журналов, но так можно сделать, применив xml фильтр со следующим содержимым:
Соответственно Data=’10’ это и есть тип входа. С таким фильтром найти тех, кто входил на сервер становится значительно проще и нагляднее.
Tags:
- администрирование
- основы администрирования
- windows
- event id
- eventlog
- Войдите или зарегистрируйтесь, чтобы отправлять комментарии
Источник: www.mytechnote.ru
Как узнать в какие папки заходил человек на компьютере
Аудит события входа пользователей в Windows
16.11.2022
itpro
Active Directory, PowerShell, Windows 10, Windows Server 2019
комментариев 7
При расследовании различных инцидентов администратору необходимо получить информацию кто и когда заходил на определенный компьютер Windows. Историю входов пользователя в доменной сети можно получить из журналов контроллеров домена. Но иногда проще получить информацию непосредсвенно из логов компьютера. В этой статье мы покажем, как получить и проанализировать историю входа пользователей на компьютер/сервер Windows. Такая статистика поможет вам ответить на вопрос “Как в Windows проверить кто и когда использовал этот компьютере”.
Настройка политики аудита входа пользователей в Windows
Сначала нужно включить политик аудита входа пользователей. На отдельностоящем компьютере для настройки параметров локальной групповой политики используется оснастка gpedit.msc. Если вы хотите включить политику для компьютеров в домене Active Directorty, нужно использовать редактор доменных GPO ( gpmc.msc ).
Поиск событий входа пользователей в журнале событий Windows
После того как вы включили политики аудита входа, при каждом входе пользователя в Windows в журнале Event Viewer будет появляться запись о входе. Посмотрим, как она выглядит.
- Откройте оснастку Event Viewer ( eventvwr.msc );
- Разверните секцию Windows Logs и выберите журнал Security;
- Щелкните по нему правой клавишей и выберите пункт Filter Current Log;
New Logon: Security ID: WINITPROa.khramov Account Name: a.khramov Account Domain: WINITPRO
Ниже перечислены другие полезные EventID:
Если полистать журнал событий, можно заметить, что в нем присутствуют не только события входа пользователей на компьютер. Здесь также будут события сетевого доступа к этому компьютеру (при открытии по сети общих файлов или печати на сетевых принтерах), запуске различных служб и заданий планировщика и т.д. Т.е. очень много лишний событий, которые не относятся ко входу локального пользователя. Чтобы выбрать только события интерактивного входа пользователя на консоль компьютера, нужно дополнительно сделать выборку по значению параметра Logon Type. В таблице ниже перечислены коды Logon Type.
| System | |
| 2 | Interactive |
| 3 | Network |
| 4 | Batch |
| 5 | Service |
| 6 | Proxy |
| 7 | Unlock |
| 8 | NetworkCleartext |
| 9 | NewCredentials |
| 10 | RemoteInteractive |
| 11 | CachedInteractive |
| 12 | CachedRemoteInteractive |
| 13 | CachedUnlock |
При удаленном подключении к рабочему столу компьютера по RDP, в журнале событий появится записи с Logon Type 10 или 3. Подробнее об анализе RDP логов в Windows.
В соответствии с этой таблицей событие локального входа пользователя на компьютер должно содержать Logon Type: 2.
Этот код событий появляется при автоматическом входе в Windows.
Для фильтрации события входа по содержать Logon Type лучше использовать PowerShell.
Анализ событий входа пользователей в Windows с помощью PowerShell
Допустим, наша задача получить информацию о том, какие пользователи входили на этот компьютер за последнее время. Нам интересует именно события интерактивного входа (через консоль) с LogonType =2 . Для выбора события из журналов Event Viewer мы воспользуемся командлетом Get-WinEvent.
Следующий PowerShell скрипт выведет история входа пользователей на текущий компьютер и представит ее в виде графической таблицы Out-GridView.
Если нужно выбрать события входа за последние несколько дней, можно добавить pipe с таким условием:
Командлет Get-WinEvent позволяет получить информацию с удаленных компьютеров. Например, чтобы получить историю входов с двух компьютеров, выполните следующий скрипт:
‘msk-comp1’, ‘msk-comp2’ |
ForEach-Object Get-WinEvent -ComputerName $_ -FilterXml $query | Select-Object $properties
>
Если протокол RPC закрыт между компьютерами, вы можете получить данные с удаленных компьютеров с помощью PowerShell Remoting командлета Invoke-Command:
Предыдущая статья Следующая статья 
Источник: winitpro.ru
Как узнать кто подключился к твоему компьютеру в сети
Работая в локальной сети, домашней или офисной, нам иногда нужно узнать, кто работает с общими папками на нашем компьютере, сколько таких пользователей и какие файлы они используют.
Как узнать, кто подключился к общим папкам
Зайдите в Управление компьютером:
В разделе Общие папки откройте раздел Сеансы:
Вы увидите список активных подключений к вашему компьютеру. Здесь можно увидеть, какой пользователь подключился, с какого компьютера установлено подключение, просмотреть активность пользователя (колонка Время простоя).
Для того, чтобы посмотреть, какие именно файлы открыты, выберите раздел Открытые файлы.
Как посмотреть кто подключен к моему Wi-Fi роутеру?
Здравствуйте. Решил сегодня написать статью, которая будет интересная всем у кого установлен свой Wi-Fi роутеру. Я почему-то уверен, что даже если вы защитили свою Wi-Fi сеть паролем, то у вас все равно возникал вопрос, а как посмотреть кто подключен к моему Wi-Fi роутеру. И если это так, то вы пришли по адресу . Сейчас я напишу как можно быстро посмотреть кто из тех подлых соседей взломал вашу Wi-Fi сеть и втихаря пользуется вашим интернетом .
Можно просто зайти в панель настроек Wi-Fi роутера, и посмотреть нужную нам информацию.
Я покажу на примере роутера TP-Link TL-WR841N, просто у меня такой стоит, но если даже у вас другой роутер, то найти нужную информацию в настройках будет не сложно, так что продолжаем.
Как узнать кто подключен к Wi-Fi сети?
Все что нам нужно, это просто зайти в настройки роутера, перейти на соответствующую вкладку и вычислить “преступника” который ворует интернет .
Значит самое главное, это попасть в настройки роутера. Вводим в адресной строке браузера 192.168.1.1 (у меня этот адрес работает), можете еще попробовать 192.168.0.1. В любом случае, на тем бумажках, который были в комплекте с роутером написано как войти в настройки (или смотрите снизу маршрутизатора).
Дальше вводим логин и пароль, если вы их не меняли, то скорее всего это admin и admin.
Попадаем на страницу управления роутером. Теперь нам нужно найти страницу, на которой можно посмотреть, кто подключен к нашему Wi-Fi роутеру. У меня на роутере TP-Link TL-WR841N, да и думаю на всех TP-Link, переходим на вкладку “Wireless” и выбираем “Wireless Statistics”. Смотрим в таблице сколько устройств подключено к вашей Wi-Fi сети.
Как видите у меня два устройства, нет это не соседи , это мой телефон, и планшет. Как вы уже заметили, отображается MAC адрес устройства, тип шифрования и число переданных пакетов.
Можно еще на одной вкладке посмотреть кто подключен к сети, не только по Wi-Fi , но и по кабелю.
Перейдите на вкладку “DHCP”, затем “DHCP Clients List”. Как видите, здесь у меня уже три устройства, прибавился еще мой компьютер, который подключен по сетевому кабелю. На это странице отображается не только MAC адрес, но и название устройства и IP, который был присвоен устройству. Нажатие на кнопку “Refrech” обновляет статистику.
У популярных роутеров D-LINK, ищите вкладку “Active session”, на ней и смотрите кто подключен к роутеру.
Вы наверное спросите, ну есть там устройства, а как понять где мои и что делать, если есть лишний MAC адрес? Отвечаю, что бы узнать MAC адрес вашего устройства в списке, или нет, зайдите например на телефоне в настройки и в пункт что-то типа информация о телефоне, или о устройстве. Посмотрите там какой у вас MAC адрес, как это сделать на компьютере, читайте в статье Как узнать и изменить MAC адрес.
Если вы обнаружили чужой MAC адрес в списке, то его можно заблокировать на вкладке “Wireless MAC Filtering”. Просто добавить новый MAC и установить параметр “Disabled”. Подробнее об этом возможно напишу в отдельной статье. Еще не помешает для профилактике сменить пароль на Wi-Fi сеть.
Удачи, и берегите свой интернет!
Проверь, кто подключился к твоему компьютеру!
Каждый компьютер в сети постоянно подвергается сканированию на открытые порты. Делается это не из-за озорства, а по вполне прагматичным причинам — заработать. Дело в том, что сканирование позволяет найти уязвимые компьютеры, а из уязвимых компьютеров злоумышленники легко собирают ботнеты и потом зарабатывают на них, предлагая услуги DDoS-атак. Как не стать частью ботнета?
Первое, что следует отметить, лучшая защита — полное перекрытие всех входящих соединений с помощью файервола. На сервере такое невозможно, а вот на домашнем компьютере запросто. Тем более, что на каждом компьютере с Linux уже установлен файервол, причем один из самых мощных — iptables. С его помощью можно всего в пару строк запретить все входящие и разрешить все исходящие соединения. Дополнительную информацию о фортификации своего компьютера с помощью iptables можно найти здесь.
Но допустим, что вы один из тех беспечных пользователей гламурных дистрибутивов типа Ubuntu, которые сразу же после установки бегут любоваться «красотами» Unity, забыв отключить «светящие» портами в интернет сервисы? Как посмотреть список этих портов? Очень просто. Даже ничего не придется устанавливать. Напишите в терминале:
Смотрите в колонке Local Addresses. Обратите внимание и на адрес: 127.0.0.1 означает, что к открытому порту могут подсоединиться только локальные пользователи, когда как 0.0.0.0 означает, что в гости приглашается весь интернет.
Другая интересная колонка — Foreign Addresses. В ней показаны IP-адреса уже подключившихся к вашему компьютеру пользователей (и адреса тех, к кому подключились вы). В терминале можно набрать whois [ip] и посмотреть информацию об адресе. Как правило, атакующие используют сервера за границей, публичные хостинги, VPN-сервисы и т.д. Все это легко можно увидеть через whois.
Теперь возникает вопрос, а что же делать?
- Отключите все неиспользуемые сервисы.
- Для тех сервисов, которые отключить нельзя, рассмотрите возможность перевода их на работу на внутреннем сетевом интерфейсе. Например, MySQL, запущенный на 127.0.0.1 вполне безопасен, а тот же MySQL на 0.0.0.0 уже представляет потенциальную угрозу.
- Составьте правила для iptables. Политика должны быть такая: сначала запретить всё, а потом разрешить лишь то, что минимально необходимо для работы в сети.
- sshd перенесите со стандартного порта № 22 на любой другой. Параноики могут дополнительно защитить sshd с помощью knockd.
- Поставьте софт, периодически проверяющий системные файлы на модификацию.
- Шифруйте и архивируйте всю важную информацию. Не удаляйте сразу же старый архив при создании нового.
Как узнать кто пользуется моим wifi? | Твой сетевичок
Интернет – неотъемлемая часть жизни современного человека: беспроводные сети плодятся с завидной скоростью, но пропорционально им возрастает и число любителей «халявы», предпочитающих пользоваться WiFi роутером соседа. При этом законному владельцу внепланово «расшаренной» точки доступа достаются лишь неприятности: низкая скорость беспроводного соединения, падение трафика и т.д.
Поэтому вопрос «как узнать, кто пользуется моим wifi» на сегодняшний день является более чем актуальным, и в данной статье мы расскажем вам, как посмотреть, сколько пользователей подключены к wifi роутеру.
Как проверить, сколько устройств подключено к wifi?
Чтобы узнать, пользуются ли твоим wifi предприимчивые соседи, в первую очередь потребуется определить статический IP адрес маршрутизатора.
У большинства современных роутеров заводские настройки указаны на сервисной наклейке, расположенной на тыльной панели устройства.
Здесь в строке IP адрес указана комбинация цифр ххх.ххх.ххх.ххх (в большинстве случаев, это 192.168.0.1 или 192.168.1.1), которая необходима для доступа к настройкам устройства.
Как посмотреть, сколько людей подключено к wifi через настройки роутера?
Самый простой способ узнать, кто пользуется твоим wifi – это посмотреть число активных соединений через веб-интерфейс роутера. Для этого введите статический IP маршрутизатора в адресной строке любого установленного на компьютере браузера и нажмите клавишу Enter.
Для входа в настройки беспроводной сети потребуется также ввести логин/пароль вашего маршрутизатора: при заводских настройках это комбинация admin/admin.
Если параметры аутентификации были изменены, а новые логин и пароль вы не помните – можно сбросить настройки роутера до заводских (об этом можно найти в статье про настройку DHCP) и заново настроить прибор по стандартным инструкциям.
Чтобы посмотреть, сколько устройств подключено к wifi, в панели управления маршрутизатором найдите раздел настроек DHCP, где будут указаны все активные пользователи вашей беспроводной сети.
По желанию, вы можете здесь удалить или забанить Mac-адрес выбранного устройства, тем самым запретив воришке дальнейший доступ к вашему трафику.
Можно ли узнать, кто пользуется моим wifi без использования настроек маршрутизатора?
Кроме того, вычислить, кто пользуется моим wifi, можно с помощью специального софта, разработанного специально для контроля беспроводных сетей.
В качестве таких программ используется commview for wifi или утилита «Wireless Network watcher», которую можно бесплатно скачать в открытом доступе интернета.
После установки программы, она осуществляет сканирование вашей сети и демонстрирует все подключенные к маршрутизатору компьютеры и мобильные гаджеты.
При этом для каждого устройства указываются основные данные (мак-адрес, имя устройства, фирма производителя и модель девайса), с помощью которых можно вычислить незаконных пользователей WiFi.
Однако забанить сторонние подключения можно только через веб-интерфейс маршрутизатора.
Чтобы защитить свою сеть WiFi от «посягательств» рекомендуется устанавливать только сложные уникальные вай фай пароли: желательно использовать латинские буквы разного регистра и цифры. Кроме того, можно отключить функцию WPS, а в настройках маршрутизатора ограничить количество пользователей, которые могут подключиться к вашей сети.
Как узнать кто подключен к моему wifi роутеру
Здравствуйте дорогие читатели блога PomKomp.ru У многих гостей моего блога периодически возникают вопросы по связанные с созданием домашней беспроводной сети и всех моментов связанных с этой процедурой. Одной и самых животрепещущих тем для многих является вопрос о том, как узнать кто подключен к моему wifi роутеру.
Хочу сказать сразу, что такая ситуация возникает в очень редких случаях, так как не зная пароля, взломать беспроводную сеть проблематично и может быть под силу только очень опытным пользователям.
Но также не стоит упускать тот момент, что защитный пароль от беспроводной сети организованной у вас дома, может быть очень простым и стал доступен обычным подбором символов. Также может случиться, что пароль был получен случайным образом, обмолвились на лестничной площадке, ребенок рассказал своему соседу, а тот по цепочке все пересказал.
Но в любом случае это неприятно, когда чем-то вашим пользуются на халяву, а вам необходимо за это вносить ежемесячную плату. Также это может быть не совсем безопасно если вы осуществляете оплату по банковской карте и переводя деньги находясь в незащищенной сети. Чаще всего заметить то, что к вашей wifi сети кто-то подключился можно только почувствовав очень сильное снижение скорости. Существует специальный сервис для проверки скорости интернета, о котором можете прочитать в соответствующей статье. Но скажу сразу, что почувствовать изменение в скорости вы сможете только в том случае, если к вашей сети подключается очень большое количество неизвестных вам устройств, либо с этих устройств идет постоянная закачка файлов через торрент клиент.
Проверка через меню роутера
Как же все-таки проверить кто подключен к моему wifi. Для начала советую прочитать как настроить роутер wifi и как подключиться к беспроводной сети. В зависимости от марки роутера, который установлен у вас дома, проверка будет немного различаться. Я приведу два примера на основе роутеров фирмы Asus и роутеров фирмы TP-Link.
Для начала вам необходимо зайти в настройки вашего маршрутизатора и проверить количество подключенных устройств как по кабельному соединению, так и по беспроводному.
Список подключенных устройств (роутер Asus)
Список подключенных устройств (роутер TP-Link)
В данной вкладке отображаются IP адреса, MAC адреса и названия тех устройств, которые подключены к вашему wifi роутеру. Если в этом списке вы не обнаружили подозрительных подключений, то можете быть спокойны, если же не все подключения вам ясны, то по очереди отключайте устройства имеющие связь с вашим роутером. Последним устройством должен остаться компьютер с которого вы производите настройку и проверку в данный момент. Если помимо вашего компьютера вы увидите дополнительные адреса и название устройств, можно с полностью уверенностью сказать, что к вашей сети кто-то подключен. Для того чтобы отключить халявщика от вашего вайфай советую просто сменить пароль на более сложный, этого будет достаточно.
Проверка через утилиты
Для того чтобы проверить кто подключен к моему wifi роутеру придумано и написано несколько приятных программ, которые позволяют без захода в настройки маршрутизатора и лишних манипуляций проводить контроль подключения. Для меня более удобными и полезными оказались только две утилиты, о них я и расскажу ниже.
Soft Perfect WiFi Guard
Простая в использовании программка позволяющая проверить сколько устройств сидит на вашем вайфай. В ее функционал заложена возможность сканирования сети, определение нового подключения, оповещение о новом подключении, отображение адреса и названия устройства. Вы можете добавить новое устройство в список одобренных и при последующем подключении, программа перестанет замечать его.
Wireless Network Watcher
Эта программка, как и предыдущая позволяет сканировать беспроводные сети и формировать таблицу в которой отображается полный список пользователей вайфай. Существует возможность вести статистику, благодаря формированию файла в формате xml (для Exel). Так же как и в первой программе вы можете настроить оповещение при подключении нового устройства.
Фактически эти две утилиты очень похожи и выбор между ними остается только за вами.
Собственно выше описанных действий будет достаточно для того чтобы проверить сколько устройств подключено к wifi. Если вы действительно обнаружили халявщиков, то для начала рекомендую поменять название сети и пароль от вашего беспроводного маршрутизатора. Дополнительной возможностью не допустить в дальнейшем несанкционированных подключений является способ скрыть SSID, а точнее сделать ее невидимой. И пользователи не знающие точного названия вашей сети попросту не смогут ее найти и соответственно к ней подконектиться.
Надеюсь что смог рассказать доступным языком о том как узнать кто подключен к моему wifi. Если же не все моменты остались для вас раскрыты, то обращайтесь за помощью ко мне, либо к читателям моего блога через форму комментариев.
В довершение всего описанного выше предлагаю посмотреть видео на данную тему, а точнее как пользоваться одной из описанных программ.
Если Вам понравилась эта статья, то подписывайтесь на новые и воспользуйтесь, пожалуйста, кнопочками:
Источник: htfi.ru