Аудит события входа

Синхронизация параметров и приложений в Windows

На мой взгляд, синхронизация является одной из самых полезных возможностей Windows, хотя и .

Вы можете настроить синхронизацию в в ПараметрыУчетные записиСинхронизация ваших параметров. Очень подробное описание этих параметров доступно в документации Microsoft.

На какие приложения распространяется синхронизация параметров?

Только на магазинные. Это относится в том числе и к автоматическому входу в приложения Microsoft с учетной записью компании (Почта, Skype и т.п.).

Традиционные приложения Microsoft не умеют подтягивать свои настройки из облака и автоматически распознавать, что вы работаете с учетной записью Microsoft (OneDrive, скорее, исключение).

Что делать, чтобы избежать ошибки проверки вашего браузера

Мы выяснили, каковы могут быть основные причины появления ошибки проверки вашего браузера при попытке доступа к веб-сайту. Теперь мы посмотрим, что мы можем сделать, чтобы исправить это и, таким образом, иметь возможность нормально перемещаться по сети.

Проверить на вредоносное ПО

Как мы уже указывали, одна из причин этого сбоя связана с различными вредоносными программами на компьютере. В сети присутствует множество угроз, которые могут нарушить нормальное функционирование наших систем. Хакеры могут использовать самые разные стратегии.

Для правильной проверки мы можем использовать хороший антивирус . Таким образом мы просканируем на предмет возможных вредоносных файлов, которые могут нарушить нормальную работу

Всегда важно иметь защитное программное обеспечение, которое защищает нас

Контроль установленных расширений

Еще один момент, который следует принять во внимание, — это контролировать какие расширения мы установили , как они работают и особенно те, которые мы недавно добавили. Для основных браузеров доступно множество надстроек, но иногда могут возникать проблемы

Мы должны увидеть, если при отключении всех или некоторых расширений эта проблема исчезнет, ​​и мы сможем получить доступ в обычном режиме. Мы также должны рассмотреть возможные обновления, которые мы недавно сделали для этого типа программного обеспечения.

Посмотрите, обновлен ли браузер

Есть ли у нас последняя версия браузера ? Это очень важно для снижения риска возникновения проблем. В Google Chrome, который является наиболее часто используемым браузером, мы можем легко это увидеть

Для этого вам необходимо войти в меню выше, перейти в раздел «Справка» и получить доступ к информации Google Chrome.

Как только это будет сделано, он автоматически начнет проверять наличие новой версии и устанавливать ее. Это также способ проверить, какой из них мы установили в данный момент, и убедиться в отсутствии проблем.

Проверьте дату и время

Одна из причин появления ошибки Checking Your Browser заключается в том, что она интерпретирует, что мы бот или что с нашим подключением что-то не так. В основном это происходит, если вы интерпретируете, что есть некоторые автоматизированный или странный процесс, что не должно.

Таким образом, чтобы избежать проблем такого типа, мы можем увидеть дату и время на нашем оборудовании. Это правильно? Возможно, у нас есть другой, и это создает конфликт при открытии веб-страницы в браузере. Вы можете интерпретировать соединение как исходящее из другого географического местоположения.

Настройте VPN правильно

Использование VPN сегодня очень распространено. Это очень полезная программа, которая помогает нам в повседневной жизни подключаться к общедоступным беспроводным сетям, которые могут быть небезопасными. Цель состоит в том, чтобы зашифровать соединение и сохранить личную информацию в безопасности, поскольку она отправляется так, как если бы она проходила через туннель.

Но могло случиться так, что это неправильно настроен или что он не работает, и это создает конфликт. Мы должны проверить, нет ли какой-либо проблемы, и в случае сомнений мы можем попытаться остановить ее на мгновение и посмотреть, исчезнет ли таким образом проблема.

Следовательно, выполнив эти шаги, которые мы упомянули, мы можем избежать сообщения «Проверка вашего браузера», которое может появиться при попытке доступа к веб-сайту. Просто выполнив некоторые действия этого типа, мы можем исправить эту проблему.

Безопасный режим

Данный способ восстановит не только учетную запись гостя, но и администратора.

  • Для этого сначала вхожу в безопасный режим, удерживая во время запуска ноутбука клавишу F8. В Windows 10 возможно следующее – нажатие на кнопку «Перезагрузка» с удерживанием клавиши Shift. На нашем сайте есть статья с подробным описанием различных методов перехода в безопасный режим на десятке.
  • Вход выполнится с учетной записи администратора, пароль к ней по умолчанию отсутствует. В Windows 7 еще высветится сообщение о том, что безопасный режим предназначен для диагностики, а ниже кнопки «Да» и «Нет». Чтобы войти, нажимаю на первую.
  • После открытия графической оболочки перехожу в раздел «Учетные записи пользователя» в панели управления. Выбираю аккаунт, пароль от которого был забыт, затем, выбрав соответствующий пункт, меняю его. Для сброса просто нажимаю на кнопку «Удалить».

 Загрузка …

Диагностика проблем

Если у вас возникла проблема с переключением на учетную запись Microsoft или работе с ней, последовательно выполняйте следующие диагностические действия:

  1. Убедитесь, что вы можете выполнить вход с учетной записью Microsoft на сайте https://account.live.com/
  2. Запустите Microsoft Accounts troubleshooter
  3. В командной строке, запущенной , выполните
    sfc /scannow

    Если появится сообщение о невозможности восстановить файлы, запакуйте в архив файл \Windows\Logs\CBS\CBS.log.

  4. Удалите сторонний фаервол и антивирус.

Если проблема не решилась, опубликуйте в этой теме форума отчет о своих действиях, CBS.log и результат диганостики Microsoft Accounts troubleshooter.

Проверьте свои приложения

Стоит проверить свои установленные приложения. Убедитесь, что все приложения были скачаны именно вами.

Если вы увидите игры или приложения, которые вы не скачивали, значит кто-то другой пользовался вашим устройством.

Если устройство выдала вам компания, то у неё может быть доступ к устройству. Чаще всего для этого устанавливают специальный профиль.

Проверить профили можно через Настройки > Основные в секции Профили и управление устройством. Если другого профиля нет, то переживать не стоит.

Теперь вы знаете о нескольких простых и быстрых способах узнать, пользовался ли кто-то вашим устройством или учётной записью.

Error happened.

Разница между отключённой, просроченной и заблокированной учётной записью

Данная статья посвящена заблокированным аккаунтом (в английской версии это locked out). Но кроме блокировки аккаунта, возможны следующие причины, почему пользователь не может войти в домен:

  • аккаунт отключён
  • аккаунт просрочен
  • пользователь ограничен определённым временем или компьютером для входа

Отключённые аккаунты (disabled)

Администратор домена может вручную отключить (деактивировать) аккаунт пользователя. Если пользователь отключён, то будет выведено сообщение:

Ваша учётная запись отключена. Обратитесь к системному администратору.

Включение аккаунта выполняется администратором (вручную или через скрипт), но не может быть выполнено автоматически, например, по истечении определённого срока действия.

Заблокированные аккаунты (locked out)

Учётная запись может быть заблокирована автоматически в соответствии с политикой блокировки учётной записи организации. Если пользователь ввёл неправильный пароль более определённого количества раз (порог устанавливается политикой паролей), то его аккаунт автоматически блокируется на время, которое также устанавливается политикой паролей.

На период блокировки пользователь будет получать следующее сообщение при каждой попытке входа:

Учётная запись заблокирована и не может использоваться для входа в сеть.

Блокировка может быть снята автоматически после истечения сроки блокировки, установленной в политике паролей домена. Также администратор может ускорить этот процесс и снять блокировку вручную.

Если время разблокировки в групповой политике пароля установлено на 0, то такая учётная запись никогда не будет разблокирована автоматически, для её разблокировки требуется действие администратора домена.

Учётные записи с истекшим сроком действия (expired)

Учётная запись пользователя может быть бессрочной или действующий в течение определённого времени. Удобно установить срок действия учётной записи для временных пользователей, которые должны иметь доступ в домен, например, на период действия контракта с ними. При установки срока истечения действия, системный администратор не пропустит момент когда нужно отключить пользователя.

Запрет доступа по другим причинам

Пользователю может быть разрешено входить только на определённые компьютеры и/или только в определённые часы. Пример сообщения, когда пользователю не разрешено выполнить вход на этом компьютере:

Вы не можете пользоваться этим компьютером из-за ограничений вашей учётной записи. Попробуйте воспользоваться другим компьютером.

Пример сообщения, когда пользователь пытается войти в неурочное время или день:

Вы не можете сейчас войти в систему из-за ограничений вашей учётной записи. Попробуйте ещё раз позже.

Данные ограничения могут перестать действовать в определённые часы или на определённых компьютерах. Эти ограничения устанавливает и снимает администратор домена.

Какие виды СМС отправляются Майкрософт

На ваш телефонный номер могут поступать следующие виды SMS от компании Майкрософт.

  • Смс с кодом безопасности. Обычно состоит из нескольких цифр (7) и имеет статус кода подтверждения для учётной записи Майкрософт или защитного кода для учётной записи Майкрософт;

  • Смс со ссылкой. Используется при входе в Виндовс Phone для проверки принадлежности учётной записи. Такая проверка выполняется лишь один раз.

Несмотря на то, что отправка такого СМС носит обычно единоразовый характер, мы можем начать регулярно получать смс с кодом безопасности от Майкрософт. Давайте узнаем, почему так происходит.

Как узнать, использует ли кто-то вашу учетную запись Instagram

1

Обратите внимание на необычную активность в Instagram

Первый способ узнать, использует ли кто-то вашу учетную запись, — это выявить необычную активность. Необычные занятия в основном означают то, чего вы не делали. Например, изменение отображаемого изображения, биографии в Instagram или публикаций, которые вам не нравятся в первую очередь. Кроме того, если кто-то вошел в вашу учетную запись, то есть вероятность, что они удалят ваши сообщения или подписались на каких-то случайных людей, ждите таких подробностей.

2. Получение писем о том, чего вы не делали в Instagram.

Пользователи всегда должны обращать внимание на электронные письма от Instagram. Если новый логин обнаруживается из другого места, Instagram немедленно уведомляет зарегистрированный адрес электронной почты

В таком случае, если вы не вошли в систему, вы можете быстро отозвать логин и предотвратить взлом вашей учетной записи.

3. Необычные записи в «Прошлой активности в учетной записи Instagram».

Прошлая активность в Instagram в основном состоит из понравившихся вам публикаций, опубликованных вами историй и т. Д. Можно легко проверить их прошлую активность в учетной записи, перейдя в настройки учетной записи на странице профиля Instagram. Пользователи также могут проверить свою историю поиска на вкладке безопасности.

4. Проверьте свои логины.

Лучший способ узнать, вошел ли кто-то в вашу учетную запись Instagram, — это проверить логины. Instagram позволяет пользователям проверять местоположение и зарегистрированные устройства в одном месте. Есть несколько способов проверить, вошел ли кто-нибудь в вашу учетную запись. Давайте рассмотрим подробнее ниже.

Вариант 7 — используем консоль и диск Windows

Некоторые разновидности вируса довольно хитрым образом перезаписывают загрузочную область диска так, что устранить оный обычными методами не представляется возможным. Однако, в общем-то, способ есть и заключается он в следующем..

Вставьте установочный диск Windows и выставьте загрузку в BIOS с CD-ROM и, загрузившись с этого диска (для этого надо зайти в BIOS (кнопочка Del на САМОЙ ранней стадии загрузки компьютера), а затем найти там раздел, связанный с Boot и выбрать как первый источник загрузки Ваш CD-ROM, после чего сохранить изменения и перезагрузить компьютер), вместо установки новой системы нажмите кнопочку R, чтобы открылась консоль восстановления. В этой самой консоли Вам предложат выбрать из списка ту систему, которую хотите восстановить (для этого надо нажать, например, 1 и Enter, а так же, отвечая на вопрос консоли, возможно, потребуется нажать следом кнопочку Y и Enter) и набрать команды FIXBOOT и FIXMBR (см.картинки ниже).

Перезагружаемся, смотрим. Вирус, блокирующий работу системы должен был исчезнуть.

Как защитить аккаунт Facebook от взлома

После того, как вы отменили доступ неавторизованного лица, вам необходимо предпринять шаги, чтобы этого больше не повторилось.

Конечно, первым делом нужно сменить пароль. Вы можете сделать это, выбрав Настройки → Безопасность и вход → Вход → Смена пароля. Вам нужно будет ввести свой старый пароль, чтобы завершить процесс.

Но, изменение пароля – это только половина дела. Вам также следует подумать о настройке двухфакторной аутентификации. Двухфакторная аутентификация может использовать текстовое сообщение (SMS), универсальный ключ безопасности (U2F), официальный генератор кодов Facebook (в приложении для смартфона) или сторонний генератор кода. Чтобы настроить сторонний генератор кода, вам необходимо отсканировать QR-код.

Чтобы включить двухфакторную аутентификацию, выберите «Настройки» → Безопасность и вход → «Настроить двухфакторную аутентификацию».

Вам также следует настроить оповещения о подозрительных входах. Если эта функция включена, Facebook уведомит вас, если заметит из подозрительного источника. Это позволит вам быстрее отреагировать в случае взлома аккаунта.

Загрузочный диск

Можно также восстановить пароль пользователя, используя загрузочный диск, с помощью которого проводилась установка системы. Он может быть на флешке или CD-DVD диске, так что нужно будет загрузиться с устройства, но предварительно поменять в BIOS приоритет загрузки. После запуска окна установки я выбираю пункт «Восстановление системы».

Выйдет несколько вариантов, я же выберу «Командную строку», в ней задам значение regedit для открытия редактора реестра. После выделяю элемент HKEY_LOCAL_MACHINE, нажимаю на вкладку «Файл» и активирую команду «Загрузить куст». Открываю файл SAM, после перехожу в раздел Domains\Account\Users\000001F4.

Дважды нажимаю по значению F и для сброса пароля в открывшейся таблице в строке 38 меняю 11 на 10, после применяю изменения нажатием на кнопку ОК. Остальное трогать не следует, иначе это приведет к сбоям и система даже загружаться не станет.

После этого снова открываю вкладку «Файл», жму на значение «Выгрузить куст», соглашаюсь с принятием изменением нажатием на кнопку «Да» и выхожу из окна. Перезагружаю компьютер, не забывая вытащить загрузочный носитель из привода или разъема (в зависимости от того, что я использовала). Если все сделано правильно, при загрузке система не потребует пароль.

 Загрузка …

Просмотрите список своих устройств

Для начала проверьте, что ваш Apple ID привязан только к вашим устройствам. В списке будут все устройства, на которых вы заходили в свою учётную запись. Если вы заметите неизвестное устройство, его можно удалить.

На iPhone и iPad зайдите в Настройки и вверху выберите свой Apple ID. Внизу будет список ваших устройств. Если вы найдёте чужое, выберите его и нажмите Удалить из учётной записи. Подтвердите действие, нажав Удалить.

На Mac откройте Системные настройки и выберите Apple ID. Слева будет список ваших устройств. Выберите нужное и нажмите Удалить из учётной записи. Подтвердите нажатием Удалить.

Ставим ловушку для шпиона

Если вы не нашли никаких доказательств из 1 и 2 пункта, но все равно считаете, что кто-то пользуется вашим компьютером без вашего ведома, то можно попробовать поставить ловушку и взять его с поличным. Для этого есть несколько способов.

Первый способ подходит для пользователей Windows и не отличается особой сложностью. Нужно всего лишь зайти в «Планировщик заданий Windows» и создать простую задачу. При создании задачи укажите событие (триггер) «Вход в Windows».

Теперь продумайте, что вы бы хотели сделать, когда без вас кто-то войдет в компьютер. Самый простой вариант — послать самому себе письмо, например, на коммуникатор.

Хотя лично мне больше понравился бы другой вариант – «Запустить программу». А потом бы я скачал какую-нибудь программу-розыгрыш из тех, что удаляют меню Пуск или включают аудиозапись с вашим грозным голосом на мощных колонках с отличным звуком, например, Bose SoundTouch 20 Series III. Представьте себе лицо неизвестного в этот момент!

Второй вариант подходит абсолютно для всех устройств – это программа Prey (Добыча). Это приложение, которое будучи запущенным на компьютере/телефоне, сидит тихо и помалкивает, а по сигналу хозяина начинает втихую следить за действиями текущего пользователя. Также есть приложение Elite Keylogger, которое отслеживает все действия мыши или клавиши, нажатые на клавиатуре.

Есть как бесплатные, так и платные и более расширенные версии этих приложений. Но поймать «шпиона» на месте преступления – это стоит того.

Как посмотреть когда последний раз включали компьютер

Когда последний раз включали и выключали компьютер можно посмотреть в журнале событий Windows 10. Журнал событий в свою очередь позволяет пользователю дополнительно посмотреть все события происходящие в операционной системе Windows 10. Зачастую просмотр событий используется для обнаружения проблем вызывающих сбои в работе системы.

  1. Откройте журнал событий выполнив команду eventvwr.msc в окне Win+R.
  2. Перейдите в раздел Журналы Windows > Система, и нажмите кнопку Фильтр текущего журнала…
  3. В открывшемся окне в пункте Источник событий установите значение Winlogon, и примените фильтр нажав ОК.

Событие от источника Winlogon отправляет уведомление о входе пользователя для программы улучшения качества программного обеспечения. После применения фильтра в результатах можно посмотреть не только время последнего включения компьютера, но и узнать время завершения работы Windows 10.

Пользователю достаточно посмотреть по порядку данные представленные в окне. Первыми будут отображены дата и время включения, вторыми дата и время последнего выключения компьютера.

Зачем нужен аккаунт Microsoft, если есть локальная учетная запись

Не должны возникнуть трудности и у тех, кто предпочитает локальные учетные записи универсальным аккаунтам Microsoft. Однако в последних версиях Windows корпорация всячески стимулирует пользователей отказываться от применения локальных учетных записей. К примеру, в Windows 11 для создания независимого от интернет-подключения профиля от потребуется несколько больше действий, нежели для добавления учетной записи Microsoft.

В Windows 11 появились проблемы со входом в систему

Привязка учетной записи Microsoft к установленной копии Windows 11, к примеру, позволяет ОС автоматически настроить программу-клиент для фирменного облачного сервиса компании OneDrive и обеспечить синхронизацию данных между устройствами пользователя, на которых выполнен вход с ее помощью. Кроме того, учетная запись Microsoft нужна для доступа к офисным и игровым (Xbox) продуктам компании. Наконец, интернет-аккаунт необходим для использования приложения «Связь с телефоном», которое позволяет управлять смартфоном на базе ОС Android с персонального компьютера.

Активируем журнал событий

Сохранение информации о том, кто входил в компьютер возможно только после включения этой функции. Нажимаем WIN+R для активации редактора групповой политики.

В открывшемся окне пишем команду gpedit.msc, кликаем ОК.

Обратите внимание. Не во всех версиях Windows имеется такой инструмент

Если редактора групповой политики в вашей операционке нет, рекомендуем обновить ее до Professional или воспользоваться вторым инструментом.

В редакторе кликаем «Политика Локальный компьютер». Далее заходим в «Конфигурация компьютера», выбираем «Конфигурация Windows». Находим кнопку «Параметры безопасности», идем в «Локальные политики», открываем «Политика аудита», выбираем пункт «Аудит входа в систему».

Переходим в «Свойства», ставим галочки напротив параметров «Успех», «Отказ».

Включение этой функции позволит Windows записывать все попытки входа с указанием времени и имени пользователя. Чтобы посмотреть отчеты в журнале нажмите «WIN+R» и введите команду «eventvwr». Кликаем «Журналы Windows», выбираем «Безопасность».

Сориентироваться в огромном списке событий поможет фильтр по действиям.

Как проверить, заблокирована ли учётная запись пользователя?

Проверить, заблокирована ли учётная запись, можно в графической консоли ADUC или с помощью командлета Get-ADUser из модуля Active Directory для PowerShell:

Get-ADUser -Identity Alex -Properties LockedOut,DisplayName | Select-Object samaccountName,displayName,Lockedout

Учётная запись в данный момент заблокирована и не может использоваться для аутентификации в домене (Lockedout = True).

Вы можете вывести список всех заблокированных на данный момент учётных записей в домене с помощью командлета Search-ADAccount:

Search-ADAccount -LockedOut

Вы можете разблокировать учётную запись вручную с помощью консоли ADUC, не дожидаясь автоматической разблокировки. Найдите учётную запись пользователя, щёлкните правой кнопкой мыши и выберите Properties («Свойства»). Перейдите на вкладку Account («Учётная запись») и установите флажок Unlock account. This account is currently locked out on this Active Directory Domain Controller (в русскоязычной версии «Разблокируйте учётную запись. Учётная запись на этом контроллере домена Active Directoryв на данный момент заблокирована»). Затем кликните «ОК».

Вы также можете сразу разблокировать нужную учётную запись, используя следующую команду PowerShell:

Get-ADUser -Identity Alex | Unlock-ADAccount

Вы можете проверить время блокировки учётной записи, количество неудачных попыток ввода пароля, время последнего успешного входа в систему в свойствах учётной записи в консоли ADUC (на вкладке Attribute Editor «Редактора атрибутов»)

или с помощью PowerShell:

Get-ADUser Alex -Properties Name,lastLogonTimestamp,lockoutTime,logonCount,pwdLastSet | Select-Object Name,@{n='LastLogon';e={::FromFileTime($_.lastLogonTimestamp)}},@{n='lockoutTime';e={::FromFileTime($_.lockoutTime)}},@{n='pwdLastSet';e={::FromFileTime($_.pwdLastSet)}},logonCount

Проверьте историю браузера

Это самый простой и быстрый способ узнать, что кто-то пользовался вашим компьютером и заходил в Интернет. Но все прекрасно понимают, что умные люди всегда удаляют историю браузера, тем более, если они используют чужой компьютер.

Скорее всего, ваш подозреваемый не так глуп, чтобы оставить настолько явные следы своего присутствия, не так ли? Но и здесь есть подвох!

«Лазутчик» мог удалить только свою историю посещений, а мог удалить ее вместе с вашей предыдущей историей. Если вы заходите в браузер и видите пустую историю, но точно знаете, что сами ее не удаляли, то это первый звоночек о том, что кто-то без вас пользовался вашим компьютером.

Если ваш «шпион» совсем не глуп, то мог использовать приватную сессию браузера, в таком случае с историей посещений все будет в порядке. Но и здесь можно отследить его действия с помощью интернет-службы OpenDNS, эта услуга, конечно, платная и подключать ее нужно заранее, но для некоторых она может оказаться незаменимой.

Служба OpenDNS позволяет в течение года хранить каждый URL, который посещали из вашей домашней сети.

Часть 3: Как удаленно удалить устройства, связанные с вашим Apple ID?

Можно удалить устройства, зарегистрированные с вашим Apple ID, через iDevice или онлайн через iCloud.com. Ниже мы покажем вам шаги, которые вам необходимо выполнить:

На iDevice
Невозможно просмотреть список устройств, связанных с вашим Apple ID, на вашем iPad, iPod Touch или iPhone. Однако можно удалить связанное устройство. Чтобы удалить iDevice, вы должны использовать устройство, которое хотите удалить. Ниже мы покажем вам шаги, которые вам необходимо выполнить:

  • На вашем iDevice запустите Настройки. Затем нажмите > iTunes и магазин приложений.
  • Щелкните свой идентификатор, а затем нажмите «Просмотреть Apple ID». Ваш iDevice может попросить вас ввести пароль Apple ID.
  • Прокрутите вниз до iTunes в разделе «Облако». Затем нажмите «Удалить это устройство».

На iCloud.com
Список устройств, связанных с вашим Apple ID, можно просмотреть на iCloud.com. Однако iDevices должны работать под управлением iOS 8 или новее, компьютеры Mac должны работать под управлением OS X 10.10 или новее, а Apple TV — третьего поколения или новее. Вы также можете просмотреть Apple Watch, связанные с вашим Apple ID, на iCloud.com. Чтобы просмотреть и удалить эти устройства, выполните следующие действия:

  • Посетите iCloud.com в веб-браузере компьютера. Используйте свой Apple ID и пароль для входа в систему.
  • Нажмите «Настройки», а затем выберите «Мои устройства».
  • Должен появиться список устройств, связанных с вашим Apple ID. Нажмите на устройство, которое хотите удалить. Нажмите кнопку «Удалить», чтобы удалить устройство. Если кнопка удаления недоступна, нажмите «Удалить устройство»Под номером IMEI или серийным номером.

Необычный баг

Пользователи стабильной версии операционной системы Windows 11 могут сталкиваться с невозможностью войти в свою учетную запись после установки одного из последних обновлений, следут из перечня известных проблем ОС выпуска 21H2, опубликованного на официальном сайте Microsoft.

Проблема, зафиксированная Microsoft 7 сентября 2022 г., затрагивает пользователей Windows 11, обновившихся до сборки 22000.918 при помощи апдейта KB016691 от 25 августа 2022 г. Если после установки патча добавить в систему новую учетную запись пользователя Microsoft, то в результате выхода из системы или выполнения перезагрузки войти в систему не получится. Это касается только первой попытки входа и исключительно с использованием свежего Microsoft-аккаунта.

Причем пользователи домена Active Directory и учетные записи Azure Active Directory проблеме не подвержены вовсе. С чем связано такое неприятие системой новых аккаунтов Microsoft, разработчики не уточняют.

Как узнать кто заходил в компьютер и кто пытался зайти в Windows 10, 8, 7, Vista, XP

Как узнать кто включал компьютер?

Хороший вопрос. Узнать кто заходил или пытался зайти в компьютер можно разными способами. С помощью кейлоггеров и других специальных шпионских программ. Это конечно хороший способ, так как дает еще больше информации о действиях злоумышленника на вашем компьютере. Но тем кому не нужен функционал клавиатурного шпиона может узнать о попытках входа в Windows с помощью самой операционной системы.

Кстати, в статье «Невидимая папка Windows» мы рассказывали о создании прозрачных, невидимых папок на рабочем столе, которые в некоторых ситуациях могут быть очень полезны.

Как отследить, какой процесс блокирует учётную запись домена

Итак, мы выяснили, с какого компьютера или сервера была заблокирована учётная запись. Теперь было бы здорово узнать, какая программа или процесс являются источником блокировки учётной записи.

Часто пользователи начинают жаловаться на блокировку своих учётных записей домена после изменения паролей. Это говорит о том, что старый (неправильный) пароль сохраняется в определённой программе, скрипте или службе, которая периодически пытается аутентифицироваться на контроллере домена с неверным паролем. Рассмотрим наиболее распространённые места, в которых пользователь мог сохранить старый пароль:

  • Подключённые сетевые диски (через net use);
  • Работы Windows Task Scheduler (Планировщика заданий Windows);
  • Службы Windows, настроенные для запуска из учётной записи домена;
  • Сохранённые учётные данные в Credential Manager (Диспетчере учётных данных) (в Панели управления);
  • Браузеры;
  • Мобильные устройства (например, те, которые используются для доступа к корпоративному почтовому ящику);
  • Программы с автоматическим входом или настроенная функция автоматического входа в Windows;
  • Отключённые/незанятые сеансы RDP на других компьютерах или серверах RDS (поэтому рекомендуется установить ограничения для сеансов RDP);

Подсказка: существует ряд сторонних инструментов (в основном коммерческих), которые позволяют администратору проверять удалённый компьютер и определять источник блокировки учётной записи. В качестве достаточно популярного решения отметим Lockout Examiner от Netwrix.

Чтобы выполнить подробный аудит блокировки учётной записи на найденном компьютере, необходимо включить ряд локальных политик аудита Windows. Для этого откройте локальный редактор групповой политики (gpedit.msc) на компьютере (на котором вы хотите отслеживать источник блокировки) и включите следующие политики в разделе Computer Configurations → Windows Settings → Security Settings → Local Policies → Audit Policy:

  • Audit process tracking: Success , Failure
  • Audit logon events: Success , Failure

В русскоязычной версии это соответственно: Конфигурации компьютера → Конфигурация Windows → Параметры безопасности → Локальные политики → Политика аудита:

  • Аудит отслеживания событий: Успех, Отказ
  • Аудит событий входа в систему: Успех, Отказ

Дождитесь следующей блокировки учётной записи и найдите события с идентификатором события 4625 в журнале безопасности. В нашем случае это событие выглядит так:

An account failed to log on.
Failure Reason: Account locked out.

На русском это:

Учетной записи не удалось выполнить вход в систему.
Причина ошибки: Учетная запись блокирована.

Как видно из описания события, источником блокировки учётной записи является процесс mssdmn.exe (компонент Sharepoint). В этом случае пользователю необходимо обновить пароль на веб-портале Sharepoint.

После завершения анализа и выявления и устранения причины блокировки не забудьте отключить локальные политики аудита.

Если вам по-прежнему не удаётся найти источник блокировки учётной записи на определённом компьютере, просто попробуйте переименовать имя учётной записи пользователя в Active Directory. Обычно это наиболее эффективный метод защиты от внезапных блокировок конкретного пользователя, если вы не смогли установить источник блокировки.

Вы также можете вывести список событий с кодом 4625 в PowerShell:

Get-WinEvent -FilterHashtable @{ LogName='Security'; Id='4625'; }

Следующую команду вы можете использовать для вывода событий блокировки для конкретного пользователя (впишите его вместо MiAl):

Get-WinEvent -FilterHashtable @{ LogName='Security'; Id='4625'; Data="MiAl" }

Следующая команда выведет подробную информацию о каждом событии блокировки для указанного пользователя (в том числе процесс, вызвавший блокировку):

Get-WinEvent -FilterHashtable @{ LogName='Security'; Id='4625'; Data="MiAl" } | Format-List

Эта команда аналогична предыдущей, но покажет события только за последние 2 дня:

$Date = (Get-Date).AddDays(-2); Get-WinEvent -FilterHashtable @{ LogName='Security'; Id='4625'; Data="MiAl"; StartTime=$Date; } | Format-List
Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
Клипофком
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: