你电脑里存着从个人文档、保存的密码到工作文件甚至财务账户的一切内容。因此,保护它的安全就特别重要,尤其是你在办公室或者公共场合用电脑的时候。
好消息是,Windows 已经帮你做好了,不仅能让你用 PIN 或密码锁电脑,还会记下所有失败的登录。更爽的是,敲一条 PowerShell 命令就能查到。
事件查看器可以显示失败的登录尝试,但操作起来太麻烦
它有数据,但不够简单直接
事件查看器是 Windows 自带的一个工具,记录你电脑上发生的一切。像系统警告、应用错误,还有安全事件比如失败登录,你都能在这儿看到。问题是,这工具不是让你快速查东西的,所以你得自己翻半天才能找着。
想看失败登录的详细信息,打开事件查看器,进入 Windows 日志 > 安全。你会看到一长串名字稀奇古怪的条目。要缩小范围的话,点右边那个 筛选当前日志 选项,就会弹出个小窗口。在这里,你需要把默认的数字换成 4625,这就是失败登录的事件 ID。你要是输入 4624,就会显示所有成功登录的记录。
一旦事件查看器显示审核失败条目,你可以双击其中任意一个以查看更多详细信息。好处是,双击后弹出的对话框还会解释每个条目的含义。
例如,登录类型编号表示尝试的类型。类型2表示有人试图通过直接输入密码登录你的电脑,而类型3表示通过网络进行的尝试。当然,你还会看到尝试发生的确切日期和时间以及失败原因。
PowerShell 轻松搞定
一条命令全搞定
事件查看器虽然信息有用,但得点好多下才能看到。想更快查看所有失败的登录尝试?PowerShell 好用多了。它的Get-WinEvent命令能直接查询 Windows 事件日志,还能当场过滤。
用管理员权限打开 PowerShell 并运行以下命令:
Get-WinEvent -FilterHashTable @{LogName="Security"; ID=4625} | Select-Object TimeCreated, Message
这会显示一个简单的两列表格,告诉你登录失败的具体时间。如果你想看像事件查看器里那样的详细日志,可以在末尾加上 Format-Table -Wrap 来显示更多详细信息。
Get-WinEvent -FilterHashTable @{LogName="Security"; ID=4625} | Select-Object TimeCreated, Message | Format-Table -Wrap
这回显示的表格一样,但细节更多了。你会看到账户名、登录类型、失败原因等详细信息。这跟你在事件查看器里打开一条审核失败记录时看到的内容差不多。如果没有登录失败的情况,这条命令就会显示“没有找到与所选筛选条件匹配的事件”。
当然,你也可以使用此命令查看成功的登录记录,只需把ID从4625改成4624即可。
使用Windows Hello或硬件密钥提升电脑安全性
是时候抛弃密码了
仅仅依赖PIN码或密码来保护你的电脑可能有风险,无论密码多强多复杂。如果想更放心,设置Windows Hello面部或指纹识别是最简单的方法。
大多数新一点儿的笔记本已经自带所需硬件,但如果没有,你还可以购买一个兼容Windows Hello的外部设备。一旦设置好Windows Hello,去设置 > 帐户 > 登录选项,打开为了提高安全性,仅允许在此设备上使用Windows Hello登录Microsoft帐户。这样,你的电脑就只能用指纹或面部识别来解锁。
html
还有个办法是使用安全密钥。这些小设备长得像U盘,能完全代替密码。把它插上,电脑就解锁。拔下来,Windows自动锁上。就算有人猜中了你的PIN码或密码,没有那个密钥,他们照样进不去。而且你不一定非得花钱买专用的硬件密钥。你可以用USB Raptor这类工具,把随便一个旧U盘当成安全密钥来用。
监控登录失败的记录、用更安全的登录方式来保护电脑,这只是最基本的操作罢了。你还需要保证你的Microsoft账户也一样安全。其实就是设个强密码、开个双重验证,再定期看看账户活动就行了。
热门跟贴