Руководство по безопасности Windows

Как узнать информацию о входах
в Windows 10 и 11

Практическое руководство по просмотру успешных входов, неудачных попыток входа, блокировки и разблокировки компьютера, сеансов удаленного рабочего стола и активности учетных записей Windows.

⊞ Windows 10 ⊞ Windows 11 🔐 Журнал безопасности 📋 Просмотр событий ⏱ 7 мин чтения
Обзор

Как посмотреть, кто входил в Windows 10 или Windows 11

Windows записывает многие события, связанные с проверкой подлинности, во встроенный журнал Безопасность. По этим событиям можно узнать, когда был выполнен вход, был ли он локальным или удаленным, какая учетная запись использовалась и были ли неудачные попытки ввода пароля.

Самый удобный встроенный инструмент для такой проверки — Просмотр событий. Также можно использовать PowerShell для быстрой фильтрации, Командную строку для базовой информации об учетной записи и страницу безопасности учетной записи Microsoft, если вход в Windows выполняется с учетной записью Microsoft.

ℹ️
Полезно знать Для просмотра полного журнала безопасности обычно нужны права администратора. Обычные пользователи могут видеть не все события аудита входа.

Что можно узнать

Справка

Идентификаторы событий входа Windows, которые нужно знать

Перед проверкой журналов полезно знать основные идентификаторы событий. Эти номера Windows использует для обозначения конкретных событий входа, выхода и работы учетных записей.

4624 Успешный вход в учетную запись. Главное событие для поиска успешных входов.
4625 Неудачная попытка входа. Полезно для проверки неверных паролей и попыток несанкционированного доступа.
4634 Выход из учетной записи. Показывает, когда сеанс входа был завершен.
4647 Выход, инициированный пользователем. Указывает, что пользователь сам вышел из системы.
4800 Рабочая станция заблокирована. Появляется при блокировке компьютера.
4801 Рабочая станция разблокирована. Появляется при разблокировке компьютера.

Распространенные типы входа

Тип входа Значение Пример
2 Интерактивный вход Пользователь вошел за клавиатурой и экраном этого компьютера.
3 Сетевой вход Доступ к общей папке или сетевому ресурсу.
7 Разблокировка Пользователь разблокировал ранее заблокированный сеанс.
10 Удаленный интерактивный вход Подключение через удаленный рабочий стол.
11 Кэшированный интерактивный вход Доменный пользователь вошел с использованием кэшированных учетных данных.
Способ 1

Как посмотреть историю входов в Windows через Просмотр событий

Просмотр событий — самый простой графический способ проверить историю входов в Windows. Он работает и в Windows 10, и в Windows 11.

  1. Нажмите Win + R.
  2. Введите eventvwr.msc и нажмите Enter.
  3. В левой панели откройте Журналы Windows.
  4. Выберите Безопасность.
  5. Ищите события с ID 4624 для успешных входов и 4625 для неудачных попыток входа.
Просмотр событий → Журналы Windows → Безопасность

Щелкните по событию и откройте вкладку Общие. Обратите внимание на поля Имя учетной записи, Тип входа, Имя рабочей станции, Исходный сетевой адрес и Причина ошибки.

⚠️
Важно Один реальный вход пользователя может создавать несколько событий. Windows также записывает фоновые процессы, службы, сетевой доступ и системные события аутентификации. Всегда проверяйте Тип входа, прежде чем делать выводы.
Способ 2

Как отфильтровать успешные и неудачные попытки входа в Windows

Журнал безопасности может содержать тысячи событий. Фильтрация по идентификатору события значительно упрощает поиск нужных записей о входе.

Фильтр успешных входов

  1. Откройте Просмотр событий.
  2. Перейдите в Журналы Windows → Безопасность.
  3. Справа нажмите Фильтр текущего журнала.
  4. В поле <Все коды событий> введите 4624.
  5. Нажмите OK.

Фильтр неудачных попыток входа

  1. Откройте то же окно Фильтр текущего журнала.
  2. Введите 4625 в поле идентификаторов событий.
  3. Нажмите OK.
  4. Откройте событие и проверьте Причину ошибки и Имя учетной записи.

Чтобы проверить несколько типов событий сразу, введите их через запятую:

4624,4625,4634,4647,4800,4801
Способ 3

Как посмотреть историю входов в Windows через PowerShell

PowerShell удобен, если нужно быстро найти последние события входа без ручного просмотра журнала. Откройте Windows Terminal или PowerShell от имени администратора и выполните команды ниже.

Показать последние успешные входы

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624} -MaxEvents 20 |
Select-Object TimeCreated, Id, ProviderName, Message

Показать последние неудачные попытки входа

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} -MaxEvents 20 |
Select-Object TimeCreated, Id, ProviderName, Message

Показать события входа, выхода, блокировки и разблокировки вместе

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625,4634,4647,4800,4801} -MaxEvents 50 |
Select-Object TimeCreated, Id, Message
💡
Совет Вывод PowerShell может быть очень длинным, потому что поле Message содержит полный текст события. Если нужен более наглядный просмотр, используйте Просмотр событий.
Способ 4

Как проверить базовую информацию о входе пользователя через командную строку

Командная строка не показывает полный журнал безопасности так удобно, как Просмотр событий или PowerShell, но позволяет быстро получить полезные сведения об учетной записи.

Проверить последний вход локального пользователя

net user username

Замените username на реальное имя учетной записи Windows. Найдите строку Последний вход.

Показать пользователей, вошедших в систему сейчас

query user

На некоторых системах также работает сокращенная команда quser.

Показать текущего пользователя

whoami
⚠️
Ограничение Команда net user удобна для быстрой проверки учетной записи, но это не полноценный журнал аудита входов. Для подробной истории используйте журнал безопасности.
Способ 5

Как проверить историю входов через удаленный рабочий стол в Windows

Если нужно узнать, подключался ли кто-то через удаленный рабочий стол, ищите тип входа 10 в событии 4624. Он означает удаленный интерактивный вход.

  1. Откройте Просмотр событий.
  2. Перейдите в Журналы Windows → Безопасность.
  3. Отфильтруйте журнал по событию 4624.
  4. Откройте событие и проверьте поле Тип входа.
  5. Если значение равно 10, вход был выполнен через удаленный рабочий стол.

Также можно проверить журнал активности сеансов удаленного рабочего стола:

Журналы приложений и служб → Microsoft → Windows → TerminalServices-LocalSessionManager → Operational
Способ 6

Как проверить активность входов в учетную запись Microsoft

Если для входа в Windows используется учетная запись Microsoft, локальный Просмотр событий показывает активность входа в Windows, а сведения о безопасности самой учетной записи Microsoft проверяются онлайн.

  1. Откройте браузер.
  2. Перейдите на страницу безопасности учетной записи Microsoft.
  3. Откройте раздел Действия входа или Недавние действия.
  4. Проверьте успешные входы, неудачные попытки, расположения, устройства и сведения, связанные с IP-адресами.

Это особенно полезно, если есть подозрение, что кто-то пытался получить доступ к вашей учетной записи Microsoft с другого устройства или из другого места.

Параметры аудита

Как включить аудит входов в Windows

В большинстве установок Windows важные события входа уже записываются. Но если в журнале безопасности нет ожидаемых записей, проверьте политику аудита.

Включить аудит входа через локальную политику безопасности

  1. Нажмите Win + R.
  2. Введите secpol.msc и нажмите Enter.
  3. Откройте Локальные политики → Политика аудита.
  4. Дважды щелкните Аудит событий входа в систему.
  5. Включите Успех и Отказ.
  6. Нажмите OK.
ℹ️
Примечание для Windows Home В некоторых редакциях Windows нет консоли локальной политики безопасности. В этом случае используйте командную строку или PowerShell с правами администратора.

Включить аудит входов через командную строку

auditpol /set /subcategory:"Logon" /success:enable /failure:enable

Проверить текущую политику аудита

auditpol /get /subcategory:"Logon"
Диагностика

Почему история входов в Windows может отсутствовать

Если вы не находите события входа, чаще всего причина в одном из следующих факторов:

Как увеличить размер журнала безопасности

  1. Откройте Просмотр событий.
  2. Щелкните правой кнопкой мыши Журналы Windows → Безопасность.
  3. Выберите Свойства.
  4. Увеличьте параметр Максимальный размер журнала.
  5. Выберите, должна ли Windows перезаписывать старые события или архивировать журнал.
FAQ

Частые вопросы об истории входов в Windows

Можно ли увидеть точный пароль, введенный при неудачной попытке входа?

Нет. Windows не хранит и не показывает введенные пароли в Просмотре событий. Можно увидеть факт неудачного входа, целевую учетную запись и иногда причину ошибки, но не сам пароль.

Как понять, входил ли кто-то в мой компьютер, пока меня не было?

Проверьте событие 4624 в журнале безопасности и ищите тип входа 2, 7 или 10. Также проверьте события блокировки и разблокировки 4800 и 4801.

Хранит ли Windows историю входов постоянно?

Нет. События сохраняются только пока они находятся в журнале безопасности. Если журнал достигнет лимита размера, старые записи могут быть перезаписаны в зависимости от настроек журнала.

Можно ли проверить историю входов без прав администратора?

В большинстве случаев нет. Для просмотра полного журнала безопасности требуются права администратора.

Как лучше всего проверить неудачные попытки ввода пароля?

Используйте Просмотр событий и отфильтруйте журнал безопасности по идентификатору 4625. Откройте каждое событие и проверьте Имя учетной записи, Причину ошибки и сведения об источнике.

Итоги

Итоги: лучшие способы посмотреть историю входов в Windows

Самый полный способ проверить историю входов в Windows — открыть Просмотр событий → Журналы Windows → Безопасность и отфильтровать события по идентификаторам, например 4624 для успешных входов и 4625 для неудачных попыток. Для более быстрого поиска используйте PowerShell. Для быстрой проверки учетной записи подойдут команды net user, query user и whoami.

Если вам нужны надежные записи на будущее, убедитесь, что аудит входов включен, и увеличьте размер журнала безопасности, чтобы старые события не перезаписывались слишком быстро.