64

在 Windows XP、Windows 7、 Windows VistaWindows Server 2008中,用于锁定、解锁计算机的事件查看器中的事件 ID 是什么?

4

9 回答 9

90

锁定事件 ID 为 4800,解锁事件 ID 为 4801。您可以在安全日志中找到它们。您可能必须使用Local Security Policy (secpol.msc, Local Security Settings in Windows XP) -> Local Policies -> Audit Policy来激活他们的审核。对于 Windows 10,请参见下图。

在子类别下查看Windows 7 和 Windows Server 2008 R2 中的安全事件描述:其他登录/注销事件

Windows 10 中的其他登录/注销事件

于 2012-07-08T17:43:01.220 回答
43

您将需要启用这些事件的日志记录。通过打开组策略编辑器执行此操作:

运行-> gpedit.msc

并配置以下类别:

计算机配置->
Windows 设置->
安全设置->
高级审核策略配置->
系统审核策略 - 本地组策略对象->
登录/注销->
审核其他登录/注销事件

(在解释选项卡中显示“...允许您审核...锁定和解锁工作站”。)

于 2013-04-09T14:35:32.630 回答
19

对于较新版本的 Windows(包括但不限于 Windows 10 和 Windows Server 2016),事件 ID 为:

  • 4800 - 工作站被锁定。
  • 4801 - 工作站已解锁。

锁定和解锁工作站还涉及以下登录和注销事件:

  • 4624 - 帐户已成功登录。
  • 4634 - 帐户已注销。
  • 4648 - 尝试使用显式凭据登录。

使用终端服务会话时,如果会话断开,锁定和解锁还可能涉及以下事件,事件 4778 可能会替换事件 4801:

  • 4779 - 会话与 Window Station 断开连接。
  • 4778 - 会话重新连接到 Window Station。

默认情况下不审核事件 4800 和 4801,必须使用本地组策略编辑器 ( gpedit.msc) 或本地安全策略 ( secpol.msc) 启用。

使用本地组策略编辑器的策略路径是:

  • 本地计算机策略
  • 电脑配置
  • Windows 设置
  • 安全设定
  • 高级审计策略配置
  • 系统审核策略 - 本地组策略对象
  • 登录/注销
  • 审核其他登录/注销事件

使用本地安全策略的策略路径是本地组策略编辑器路径的以下子集:

  • 安全设定
  • 高级审计策略配置
  • 系统审核策略 - 本地组策略对象
  • 登录/注销
  • 审核其他登录/注销事件
于 2018-08-01T18:12:48.120 回答
7

要在 Vista 之前的 Windows 中查找的事件 ID 是528538680。528 通常代表工作站解锁成功。

较新的 Windows 版本的代码有所不同,请参阅下面的答案以获取更多信息。

于 2012-07-08T17:39:53.500 回答
6

不幸的是,没有锁定/解锁之类的东西。你要做的是:

  1. 点击“过滤当前日志...”
  2. 选择 XML 选项卡并单击“手动编辑查询”

  3. 输入以下查询:

    <查询列表>
  <查询 ID="0" 路径="安全">
    <选择路径="安全">
    *[EventData[Data[@Name='LogonType']='7']
     和
     (系统[(EventID='4634')] 或系统[(EventID='4624')])
     ]</选择>
  </查询>
</查询列表>

就是这样

于 2015-02-13T09:33:30.173 回答
4

要识别解锁屏幕,我相信您可以使用 ID 4624。但是您还需要查看登录类型,在这种情况下为 7:http ://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid =4624

注销的事件 ID 是 4634

于 2014-03-19T10:18:46.897 回答
3

安全设置 -> 高级审核策略 -> 系统审核 -> 登录/注销 -> 审核其他登录/注销事件 -> 成功

启用以下功能:

4800 - workstation locked
4801 - workstation unlocked
4802 - screensaver invoke
4803 - screensaver dismissed

视窗 10 专业版

于 2018-12-04T18:53:04.037 回答
2

对于 Windows 10,lock=4800 和 unlock=4801 的事件 ID。

正如马里奥和用户 00000 提供的答案中所说,您需要通过运行 gpedit.msc 并导航到他们指示的分支,使用上述方法启用锁定和解锁事件的日志记录:

计算机配置 -> Windows 设置 -> 安全设置 -> 高级审核策略配置 -> 系统审核策略 - 本地组策略对象 -> 登录/注销 -> 审核其他登录/注销

为成功和失败事件启用。

启用这些事件的日志记录后,您可以直接筛选事件 ID 4800 和 4801。

此方法适用于 Windows 10,因为我只是在锁定和解锁计算机后使用它来过滤我的安全日志。

于 2018-05-24T17:08:15.600 回答
1

使用 Windows 10 家庭版。即使在安装 Windows 组策略编辑器、启用对所有相关事件的审核并重新启动计算机之后,我也无法让事件查看器捕获事件 4800 和 4801。但是,我能够发现与锁定和解锁相关的其他事件,您可以将它们用作 PC 何时锁定​​的准确可靠的指标。请参阅下面的配置 - 第一个是 PC Locked(连接到显示 C:\Windows\System32\LogonUI.exe 的事件) - 第二个是 PC Unlocked(成功登录的事件)。

在此处输入图像描述

在此处输入图像描述

于 2020-08-15T20:37:00.593 回答