Найти в Дзене
Не баг, а фича
6631 подписчик

НОЧНОЙ ГОСТЬ: КАК УЗНАТЬ, КТО ЗАХОДИЛ В ТВОЙ КОМПЬЮТЕР, ПОКА ТЫ СПАЛ

6
8 мин
Вы выключаете компьютер, уходите на работу или ложитесь спать, свято веря, что никто не прикасался к вашим файлам. Но что, если в ваше отсутствие кто-то заходил в систему? Родственник, коллега, или того хуже — злоумышленник, подключившийся удалённо? Windows ведёт подробнейший журнал каждого визита. Осталось лишь научиться его читать. В мире цифрового детектива есть своя «чёрная камера» — система событий Windows. Каждое действие, будь то попытка входа, успешная авторизация или подключение по удалённому рабочему столу, фиксируется в недрах операционной системы. Проблема в том, что большинство пользователей даже не подозревают о существовании этого архива, а если и знают — боятся туда заглядывать из-за сложных цифровых кодов и непонятных аббревиатур. Спешим успокоить: разобраться в журналах событий может каждый. Достаточно знать, где искать и на какие цифры обращать внимание. А самое пугающее (или обнадёживающее) — там может оказаться информация, о которой вы даже не догадывались. Наприме
Оглавление

Вы выключаете компьютер, уходите на работу или ложитесь спать, свято веря, что никто не прикасался к вашим файлам. Но что, если в ваше отсутствие кто-то заходил в систему? Родственник, коллега, или того хуже — злоумышленник, подключившийся удалённо? Windows ведёт подробнейший журнал каждого визита. Осталось лишь научиться его читать.

В мире цифрового детектива есть своя «чёрная камера» — система событий Windows. Каждое действие, будь то попытка входа, успешная авторизация или подключение по удалённому рабочему столу, фиксируется в недрах операционной системы. Проблема в том, что большинство пользователей даже не подозревают о существовании этого архива, а если и знают — боятся туда заглядывать из-за сложных цифровых кодов и непонятных аббревиатур.

Спешим успокоить: разобраться в журналах событий может каждый. Достаточно знать, где искать и на какие цифры обращать внимание. А самое пугающее (или обнадёживающее) — там может оказаться информация, о которой вы даже не догадывались. Например, что кто-то пытался подобрать пароль к вашему компьютеру в три часа ночи .

👉 Больше расследований о скрытых функциях Windows ищите в наших каналах. Там авторы ежедневно копаются в системе и находят то, о чём Microsoft предпочитает молчать:
➡️ MAX: https://max.ru/bugfeature
➡️ Telegram: Не баг, а фича
Подписывайтесь, чтобы не пропустить новые выпуски «цифрового детектива» и научиться защищать свои данные!

📖 Что такое журнал событий Windows и почему он знает всё

Журнал событий (Event Log) — это компонент Windows, который записывает всё, что происходит в системе. Представьте себе чёрный ящик самолёта: там фиксируется каждое нажатие кнопки, каждое изменение настроек, каждый вход и выход из системы .

Эти записи делятся на несколько категорий:

  • Системные события — работа драйверов, служб, обновлений.
  • Приложения — ошибки программ, зависания.
  • Безопасность — вот здесь и хранятся следы всех, кто пытался войти в систему.

Журнал безопасности (Security Log) — это то, что нам нужно. По умолчанию он включён не на полную мощность, но базовые события (удачные и неудачные попытки входа) записываются всегда . Если же администратор компьютера когда-то включал расширенное аудирование, объём информации может быть просто колоссальным.

🕵️ Главные «шпионские» идентификаторы: Event ID

Чтобы не тонуть в море записей, нужно знать волшебные числа — Event ID (идентификаторы событий). Это цифровые коды, по которым можно отфильтровать нужную информацию .

Вот самые важные для отслеживания «ночных гостей»:

🔑 4624 — Успешный вход в систему. Это главный индикатор того, что кто-то зашёл в Windows. Но важно смотреть на тип входа (Logon Type) :

  • Тип 2 — интерактивный (человек сидел за клавиатурой).
  • Тип 3 — сетевой (доступ к папкам по сети).
  • Тип 4 — пакетный (задание планировщика).
  • Тип 5 — вход службы.
  • Тип 7 — разблокировка экрана (компьютер выходил из сна).
  • Тип 10удалённый рабочий стол (RDP) . Это самый важный тип для нашей темы — если кто-то подключался к вашему компьютеру через интернет или локальную сеть, вы увидите именно его.

🚫 4625 — Неудачная попытка входа. Кто-то пытался войти, но ошибся паролем (или подбирал его). Если таких событий много за короткое время — это верный признак атаки перебором (брутфорс) .

🚪 4634 / 4647 — Выход из системы или завершение сеанса. Фиксируют, когда пользователь вышел .

🔄 4778 / 4779 — Переподключение к сеансу / Отключение от сеанса. Особенно актуально для удалённых рабочих столов .

💤 4800 / 4801 — Блокировка / Разблокировка рабочей станции. Помогает понять, когда компьютер уходил в сон и просыпался .

🧭 Где искать: Пошаговая инструкция по входу в журнал

Запустить средство просмотра событий можно несколькими способами. Самый быстрый:

  1. Нажмите сочетание клавиш Win + R (откроется окно «Выполнить»).
  2. Введите команду eventvwr.msc и нажмите Enter .

Перед вами откроется окно «Средство просмотра событий». В левой панели нас интересует раздел «Журналы Windows»«Безопасность» .

🔍 Как фильтровать: Ищем иголку в стоге сена

Когда вы откроете журнал безопасности, вы увидите тысячи записей. Глаза разбегутся. Чтобы не листать вручную, используйте фильтр:

  1. В правой панели (действия) нажмите «Фильтр текущего журнала…» .
  2. В открывшемся окне в поле «Идентификаторы событий» введите нужные коды через запятую. Например: 4624,4625,4634,4778,4779,4800,4801 .
  3. Нажмите ОК.
-2

Теперь вы видите только те события, которые относятся ко входам и выходам.

📍 Как читать детали события

Дважды кликните по любому событию, например, по 4624. Откроется окно с подробностями. Нас интересуют следующие поля :

  • Имя учетной записи (Account Name): Кто именно заходил (ваш логин или логин другого пользователя).
  • Домен (Domain): Имя компьютера или домена.
  • Идентификатор входа (Logon ID): Уникальный номер сессии (можно сопоставлять с другими событиями).
  • Тип входа (Logon Type): Цифра, которая указывает, как именно заходили (см. список выше). Для удалённого подключения ищем цифру 10 .
  • Сетевой адрес (Source Network Address): Это самое важное! IP-адрес, с которого производилось подключение. Если это локальный вход (вы сидели за компьютером), здесь будет стоять - или 127.0.0.1. Если это удалёнка — вы увидите реальный IP внешнего гостя .
  • Порт (Source Port): Порт, с которого шло подключение.

Просматривая эти детали, можно восстановить полную картину: в 3 часа ночи с IP-адреса 123.45.67.89 была попытка входа под учётной записью «Администратор» с типом входа 10 (RDP), и она увенчалась успехом (Event ID 4624). Это значит, что вас взломали .

🖥️ Отдельно про удалённый рабочий стол (RDP)

Если на вашем компьютере включён «Удалённый рабочий стол» (Remote Desktop), он становится потенциальной мишенью. Microsoft ведёт для RDP отдельные журналы, помимо общего журнала безопасности .

Чтобы увидеть их, в том же «Средстве просмотра событий» перейдите по пути:
«Журналы приложений и служб»MicrosoftWindowsTerminalServices-LocalSessionManagerOperational .

Там вы найдёте события:

  • Event ID 21 — начало сеанса удалённого управления.
  • Event ID 23 — завершение сеанса.
  • Event ID 24 — отключение сеанса (не путать с завершением) .
  • Event ID 25 — переподключение к существующему сеансу .

Эти журналы дают более детальную информацию именно о RDP-подключениях, в то время как журнал безопасности фиксирует сам факт аутентификации.

⚙️ Как включить максимальное логирование (если оно выключено)

Если вы открыли журнал безопасности, а там пусто или мало записей, возможно, на вашей системе отключено аудирование событий входа. Чтобы это исправить, нужно включить политики аудита .

Способ 1: Через командную строку (самый быстрый)

Запустите командную строку от имени администратора и выполните команду :

auditpol /set /subcategory:"Вход" /success:enable /failure:enable

(Для английской версии: auditpol /set /subcategory:"Logon" /success:enable /failure:enable)

Эта команда включит запись успешных и неудачных попыток входа в систему.

Способ 2: Через локальную групповую политику (для Windows Pro)

  1. Нажмите Win + R, введите gpedit.msc.
  2. Перейдите: Конфигурация компьютера → Параметры Windows → Параметры безопасности → Локальные политики → Политики аудита .
  3. Дважды кликните «Аудит событий входа в систему».
  4. Отметьте галочки «Успех» и «Отказ».
  5. Нажмите ОК и закройте редактор.

После включения политик система начнёт аккуратно записывать все попытки доступа.

🧠 PowerShell: Для тех, кто дружит с кодом

Если не хочется лазить по графическим окошкам, можно воспользоваться мощью PowerShell. Вот несколько полезных команд:

1. Посмотреть все RDP-подключения (успешные) за последние 24 часа:

powershell

Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4624; StartTime=(Get-Date).AddDays(-1)} | Where-Object { $_.Properties[8].Value -eq 10 } | Select-Object TimeCreated, @{Name='User';Expression={$_.Properties[5].Value}}, @{Name='IP';Expression={$_.Properties[18].Value}}
-3

2. Посмотреть все неудачные попытки входа:

powershell

Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4625} | Select-Object TimeCreated, Message

Эти команды выведут в консоль табличку со временем, именем пользователя и IP-адресом (для успешных входов) .

🚫 Кто ещё мог заходить? Неочевидные способы доступа

Помимо прямого входа в систему или RDP, существуют другие способы接触到 вашим файлам, которые тоже оставляют следы:

  • Общие сетевые папки (SMB). Если у вас расшарены папки на диске, кто-то в локальной сети мог заходить в них без пароля (или подобрав его). Такие события фиксируются с типом входа 3 (сетевой) и событием 5140 (доступ к файловому ресурсу) или 4663 (доступ к конкретному файлу) .
  • Планировщик заданий. Если кто-то настроил задание, которое запускается под вашей учётной записью, вы увидите тип входа 4.
  • Службы. Тип входа 5.

🛡️ Что делать, если вы нашли подозрительную активность

Итак, вы открыли журнал, применили фильтры и увидели, что вчера в 2 часа ночи с IP-адреса, который вам не знаком, был успешный вход (Event ID 4624, тип 10). План действий:

  1. Не паниковать. Запишите IP-адрес, время и имя учётной записи, под которой заходили.
  2. Отключите компьютер от интернета (или выключите Wi-Fi). Если злоумышленник подключён в данный момент, это его оборвёт.
  3. Смените пароли. Немедленно смените пароль от своей учётной записи Windows и от аккаунта Microsoft.
  4. Отключите удалённый рабочий стол, если он вам не нужен жизненно. (Параметры → Система → Удалённый рабочий стол).
  5. Проверьте, не создавал ли злоумышленник новых пользователей. В журнале безопасности ищите события 4720 (создание пользователя).
  6. Проверьте автозагрузку и планировщик заданий. Злоумышленник мог закрепиться в системе.

👉 Больше инструкций по защите от взлома и настройке безопасности Windows ищите в наших каналах:
➡️ MAX: https://max.ru/bugfeature
➡️ Telegram: Не баг, а фича
Присоединяйтесь к сообществу людей, которые не пускают чужих в свои компьютеры!

💾 Итог: Доверяй, но проверяй

Windows ведёт подробнейший учёт всех, кто касается вашего компьютера. Журнал событий — это не просто технический инструмент для сисадминов, это ваш личный детектив, который никогда не спит. Даже когда вы выключили свет и легли спать, система продолжает записывать каждую попытку доступа в специальный чёрный ящик.

Теперь, вооружившись знанием Event ID, типов входа и умением пользоваться eventvwr.msc, вы можете в любой момент устроить допрос своему компьютеру и выяснить, не шастал ли кто по вашим папкам в ночную смену. Загляните в журнал сегодня — возможно, вы удивитесь, сколько «гостей» побывало в вашей системе без приглашения.