Leser wie Sie helfen, MUO zu unterstützen. Wenn Sie über Links auf unserer Website einen Kauf tätigen, erhalten wir möglicherweise eine Affiliate-Provision. Weiterlesen.

In Windows können Sie mehrere Benutzerkonten erstellen, damit mehrere Benutzer einen einzelnen Computer verwenden können. Was aber, wenn Sie vermuten, dass jemand ohne Ihr Wissen auf Ihren PC oder Ihr Benutzerkonto zugegriffen hat?

Während die physische Überwachung Ihres Computers die ganze Zeit für die meisten Menschen nicht machbar ist, ist das eingebaute Das Windows-Protokolldienstprogramm Event Viewer kann die letzten Aktivitäten auf Ihrem Computer anzeigen, einschließlich der Anmeldung Versuche. Hier zeigen wir Ihnen, wie Sie fehlgeschlagene und erfolgreiche Anmeldeversuche in Windows mit der Ereignisanzeige und anderen Methoden überwachen können.

So aktivieren Sie die Anmeldeüberwachung über den Gruppenrichtlinien-Editor

Sie müssen die Anmeldeüberwachung im Gruppenrichtlinien-Editor aktivieren, um die Anmeldeüberwachung in der Ereignisanzeige anzeigen zu können. Auch wenn diese Funktion auf einigen Computern standardmäßig aktiviert ist, können Sie die Anmeldeüberwachung auch manuell aktivieren, indem Sie diesen Schritten folgen.

instagram viewer

Beachten Sie, dass der Gruppenrichtlinien-Editor nur in der Pro-, Edu- und Enterprise-Edition des Windows-Betriebssystems verfügbar ist. Wenn Sie sich in der Home-Edition befinden, folgen Sie unserem Leitfaden zu Aktivieren Sie gpedit in der Windows Home Edition.

Beachten Sie, dass Sie, wenn Sie Ihre Gruppenrichtlinie nicht für die Anmeldeüberwachung konfigurieren, nur die erfolgreichen Anmeldeversuche in der Ereignisanzeige anzeigen können.

Nachdem Sie den Gruppenrichtlinien-Editor aktiviert haben, führen Sie die folgenden Schritte aus, um die Anmeldeüberwachung zu aktivieren:

  1. Drücken Sie Sieg + R öffnen Laufen.
  2. Typ gpedit.msc und klicken OK die zu öffnen Gruppenrichtlinien-Editor.
  3. Navigieren Sie als Nächstes zum folgenden Ort:Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Audit-Richtlinie
  4. Klicken Sie im rechten Bereich mit der rechten Maustaste auf Anmeldeereignisse überwachen und auswählen Eigenschaften.
  5. Im Eigenschaften Dialog, auswählen Erfolg Und Versagen Optionen unter der Auditieren Sie diese Versuche Abschnitt.
  6. Klicken Anwenden Und OK um die Änderungen zu speichern.

Schließen Sie den Gruppenrichtlinien-Editor und fahren Sie mit den nächsten Schritten fort, um Anmeldeversuche in der Ereignisanzeige anzuzeigen.

So zeigen Sie fehlgeschlagene und erfolgreiche Anmeldeversuche in der Ereignisanzeige an

Der Ereignisanzeige können Sie Windows-Protokolle für die Anwendung, die Sicherheit, das System und andere Ereignisse anzeigen. Während es sich um eine nützliche Anwendung zur Behebung von Systemproblemen handelt, können Sie damit Anmeldeereignisse auf Ihrem Windows-PC überwachen.

Befolgen Sie diese Schritte, um fehlgeschlagene und erfolgreiche Anmeldeversuche in Windows anzuzeigen:

  1. Drücken Sie die Schlüssel gewinnen und Typ Ereignisanzeige. Alternativ klicken Sie auf Suchen in der Taskleiste und geben Sie ein Ereignisanzeige.
  2. Klicke auf Ereignisanzeige aus dem Suchergebnis, um es zu öffnen.
  3. Erweitern Sie im linken Bereich die Windows-Protokolle Abschnitt.
  4. Wählen Sie als Nächstes aus Sicherheit.
  5. Suchen Sie im rechten Bereich nach der Ereignis 4624 Eintrag. Es handelt sich um eine Ereignis-ID für die Benutzeranmeldung, und Sie finden möglicherweise mehrere Instanzen dieser ID im Ereignisprotokoll.
  6. Um fehlgeschlagene Anmeldeversuche zu finden, suchen Sie Ereignis-ID 2625 Einträge statt.
  7. Als nächstes wählen Sie die Ereignis 4624 Eintrag, den Sie anzeigen möchten, und die Ereignisanzeige zeigt alle zugehörigen Informationen im unteren Abschnitt an. Alternativ können Sie mit der rechten Maustaste auf den Ereigniseintrag klicken und auswählen Eigenschaften um detaillierte Informationen in einem neuen Fenster anzuzeigen.

So entschlüsseln Sie die Anmeldeeinträge in der Ereignisanzeige

Obwohl die Ereignis-ID 4624 Anmeldeereignissen zugeordnet ist, werden Sie wahrscheinlich alle paar Minuten mehrere Instanzen dieses Eintrags im Protokoll finden. Dies liegt daran, dass die Ereignisanzeige jedes Anmeldeereignis (ob vom lokalen Benutzerkonto oder von Systemdiensten wie Windows-Sicherheit) mit derselben Ereignis-ID aufzeichnet (Ereignis 4624).

Um die Anmeldequelle zu identifizieren, klicken Sie mit der rechten Maustaste auf den Ereignisdatensatz und wählen Sie aus Eigenschaften. Im Allgemein Tab, scrollen Sie nach unten und suchen Sie die Anmeldeinformationen Abschnitt. Hier das Anmeldetyp Feld gibt die Art der erfolgten Anmeldung an.

Zum Beispiel, Anmeldetyp 5 gibt eine dienstbasierte Anmeldung an, während Anmeldetyp 2 zeigt die benutzerbasierte Anmeldung an. Erfahren Sie mehr über die verschiedenen Anmeldearten in der folgenden Tabelle.

Scrollen Sie als Nächstes nach unten zu Neue Anmeldung Abschnitt und suchen Sie die Sicherheits-ID. Dadurch wird das Benutzerkonto angezeigt, das von der Anmeldung betroffen war.

Überprüfen Sie in ähnlicher Weise für fehlgeschlagene Anmeldeversuche Ereignis-ID 4625. Im Eigenschaften finden Sie Gründe für den fehlgeschlagenen Anmeldeversuch und das betroffene Benutzerkonto. Wenn Sie mehrere Fälle von erfolglosen Versuchen finden, ziehen Sie das Lernen in Betracht wie Sie die Anzahl fehlgeschlagener Anmeldeversuche begrenzen, um Ihren Windows-PC zu schützen.

Unten ist die Liste aller neun Anmeldetypen für Anmeldeereignisse, die beim Überprüfen von Anmeldeereignissen in der Ereignisanzeige auftreten können:

Anmeldetyp Beschreibung
Anmeldetyp 2 Ein lokaler Benutzer, der an diesem Computer angemeldet ist.
Anmeldetyp 3 Ein Benutzer, der sich über das Netzwerk an diesem Computer angemeldet hat.
Anmeldetyp 4 Batch-Anmeldetyp ohne Benutzereingriff – Geplante Aufgaben usw.
Anmeldetyp 5 Anmeldung durch Systemdienst, gestartet durch Service Control Manager – Häufigste Art
Anmeldetyp 7 System von einem Benutzer mit lokalem Konto entsperrt
Anmeldetyp 8 NetworkClearText – Anmeldeversuch über das Netzwerk, an das das Kennwort als Klartext gesendet wurde.
Anmeldetyp 9 NewCredentials – wird ausgelöst, wenn ein Benutzer den RunAs-Befehl mit der /netonly-Option verwendet, um ein Programm zu starten.
Anmeldetyp 10 RemoteInteractive – Wird generiert, wenn über ein Remotezugriffstool wie Remotedesktopverbindung auf einen Computer zugegriffen wird.
Anmeldetyp 11 CachedInteractive – Wenn sich der Benutzer über die Konsole mit den zwischengespeicherten Anmeldeinformationen am Computer anmeldet, wenn der Domänencontroller nicht verfügbar ist.

So zeigen Sie den letzten Anmeldeverlauf mithilfe der Eingabeaufforderung an

Sie können die Eingabeaufforderung verwenden, um den letzten Anmeldeversuch anzuzeigen. Es ist eine praktische Möglichkeit, benutzerbasierte Anmeldeversuche zu finden, ohne alle Anmeldeereignisse in der Ereignisanzeige durchgehen zu müssen.

So zeigen Sie den Anmeldeverlauf eines bestimmten Benutzers mit der Eingabeaufforderung an:

  1. Drücken Sie Sieg + R öffnen Laufen.
  2. Typ cmd. Beim Halten der Strg + Umschalttaste, klicken OK. Dies öffnet die Eingabeaufforderung als Verwalter.
  3. Geben Sie im Eingabeaufforderungsfenster den folgenden Befehl ein und drücken Sie die Eingabetaste:net-Benutzeradministrator | findstr /B /C:"Letzte Anmeldung"
  4. Ersetzen Sie im obigen Befehl „Administrator“ durch den Benutzernamen, um den Anmeldeverlauf anzuzeigen.
  5. Die Ausgabe zeigt die Uhrzeit und das Datum der letzten Anmeldung für den angegebenen Benutzer.

Anzeigen von fehlgeschlagenen und erfolgreichen Anmeldeversuchen in Windows

Wenn Sie vermuten, dass sich jemand bei Ihrem PC angemeldet hat, wird die Ereignisanzeige den Versuch wahrscheinlich abfangen und aufzeichnen. Damit dies funktioniert, müssen Sie die Logon Auditing-Richtlinie im Gruppenrichtlinien-Editor aktivieren. Sie können auch die Eingabeaufforderung verwenden, um den Anmeldeverlauf eines bestimmten Benutzers anzuzeigen.

Jeder, der sich mit der Ereignisanzeige auskennt, kann die Protokolle jedoch problemlos löschen. Wenn überhaupt, ist die Verbesserung Ihrer Windows-Computersicherheit also der beste Weg, um unbefugten Zugriff zu verhindern. Sie können damit beginnen, die Anzahl der fehlgeschlagenen Anmeldeversuche auf Ihrem Windows-PC zu begrenzen.