จะรู้ได้อย่างไรว่ามีคนลงชื่อเข้าใช้พีซี Windows ของคุณอยู่

คุณคิดว่ามีคนลงชื่อเข้าใช้พีซี Windows ของคุณในขณะที่คุณไม่อยู่หรือไม่? หากสุนัขล่าเนื้อของคุณไม่สามารถติดตามผู้กระทำความผิดได้ เราก็มีวิธีที่สะดวกสำหรับคุณในการค้นหาว่าพีซีของคุณถูกเข้าถึงหรือไม่ พวกเขาอาจไม่ได้ทิ้งร่องรอยทางกายภาพไว้ แต่มีโอกาสดีที่พวกเขาทิ้งหลักฐานไว้ใน Windows ที่ไหนสักแห่ง ตรวจสอบว่ามีคนอื่นกำลังเข้าสู่ระบบพีซี Windows ของคุณโดยใช้วิธีการต่อไปนี้ร่วมกันหรือไม่

กิจกรรมล่าสุดในรายการทางลัด

Windows 10 เวอร์ชันปัจจุบันจะไม่แสดงกิจกรรมล่าสุดในเมนูเริ่ม นอกแอปที่เพิ่มล่าสุดอีกต่อไป ข้ามไปยังส่วนถัดไปหากคุณใช้ Windows 10 เวอร์ชันก่อนหน้าหรือ Windows เวอร์ชันก่อนหน้า

อย่างไรก็ตาม Windows 11 จะแสดงคำแนะนำในเมนูเริ่ม (คุณลักษณะนี้เปิดใช้งานโดยค่าเริ่มต้น แต่ผู้ใช้ที่แอบอ้างอาจปิดการทำงานไว้) ข้อมูลเหล่านี้อิงจากการใช้งานล่าสุด ซึ่งสามารถระบุได้ว่ามีคนอื่นใช้พีซีของคุณอยู่หรือไม่

อย่างไรก็ตาม คุณสามารถดูไฟล์ที่เข้าถึงล่าสุดได้โดยคลิกขวาที่แอปในเมนูเริ่มและทาสก์บาร์ ต้องการดูว่ามีใครเปิดเอกสาร Word หรือไม่ เปิดเอกสาร Word ใดๆ ก็ตาม คลิกขวาที่ไอคอนบนทาสก์บาร์ (วิธีนี้ใช้ได้เช่นกันหากคุณมีทางลัดที่ตรึงไว้บนแถบงาน) และค้นหาล่าสุด

คุณสามารถทำสิ่งเดียวกันนี้ได้ในเมนูเริ่มของคุณ คลิกขวาที่แอปที่คุณคิดว่าอาจมีคนเข้าถึงเพื่อค้นหารายการล่าสุด รวมถึงรายการเบราว์เซอร์ หากเบราว์เซอร์ของคุณลบประวัติโดยอัตโนมัติเมื่อปิด ระบบอาจไม่แสดงสิ่งใด

อีกวิธีหนึ่ง ให้เปิด File Explorer และดูที่ “Quick Access”

คุณอาจต้องเปิดการตั้งค่านี้หากไม่ได้เปิดไว้โดยค่าเริ่มต้น ไปที่ “เริ่ม -> การตั้งค่า -> การปรับเปลี่ยนในแบบของคุณ -> เริ่ม”

ตรวจสอบให้แน่ใจว่า "แสดงรายการที่เพิ่งเปิดล่าสุดใน Start, Jump Lists และ File Explorer" เปิดอยู่

กิจกรรมล่าสุด (Windows เวอร์ชันเก่าและ Windows 10)

เริ่มจากพื้นฐานกันก่อน หากมีคนเข้าถึงบัญชีของคุณ แสดงว่าพวกเขาต้องใช้มันเพื่ออะไรบางอย่าง คุณต้องมองหาการเปลี่ยนแปลงในพีซีที่คุณไม่ได้เป็นผู้ทำ

จุดเริ่มต้นจะเป็นโปรแกรมล่าสุดที่ปรากฏในเมนูเริ่ม คลิกที่เมนู Start เพื่อดูโปรแกรมล่าสุดที่เปิดอยู่ คุณจะเห็นการเปลี่ยนแปลงก็ต่อเมื่อผู้บุกรุกเข้าถึงโปรแกรมที่คุณไม่ได้ใช้เมื่อเร็วๆ นี้

ข้อเสียอย่างหนึ่งคือพวกเขาสามารถลบรายการออกจากที่นี่ได้เสมอหากพวกเขาฉลาดพอ นอกจากนี้ หากเปิดใช้งานมุมมองรายการล่าสุดบนพีซีของคุณ ให้วางเคอร์เซอร์เมาส์ไว้เหนือปุ่ม "รายการล่าสุด" ที่ด้านขวาของเมนูเริ่ม เพื่อดูไฟล์ทั้งหมดที่เพิ่งเปิดล่าสุด รายการไฟล์จะยังคงอยู่แม้ว่าไฟล์จริงจะถูกลบไปแล้วก็ตาม

สถานที่ทั่วไปอื่นๆ ในการค้นหาการเปลี่ยนแปลง ได้แก่ ประวัติเบราว์เซอร์ เอกสารล่าสุด และตัวเลือก "โปรแกรม" ในแผงควบคุมสำหรับโปรแกรมที่เพิ่งเพิ่มเข้ามา

ไม่มีใน Windows 11 รายการล่าสุดจะแสดงโดยคลิกขวาที่ไอคอนแอปและในการเข้าถึงด่วนเท่านั้น อย่างไรก็ตาม หากปิดคุณสมบัติรายการล่าสุดในการตั้งค่าพีซีของคุณ รายการเหล่านั้นจะไม่ปรากฏที่นี่เช่นกัน

ตรวจสอบตัวแสดงเหตุการณ์ของ Windows

ขั้นตอนข้างต้นเป็นเพียงเพื่อเตือนคุณว่ามีบางอย่างผิดปกติ มาจริงจังและขุดหาหลักฐานที่มั่นคงถ้าคุณสงสัยว่ามีคนอื่นกำลังเข้าสู่ระบบพีซี Windows ของคุณ Windows จะเก็บบันทึกที่สมบูรณ์เมื่อบัญชีเข้าสู่ระบบสำเร็จและพยายามเข้าสู่ระบบไม่สำเร็จ คุณสามารถดูข้อมูลนี้ได้จาก Windows Event Viewer

ในการเข้าถึง Windows Event Viewer ให้กด Win + R แล้วพิมพ์ eventvwr.msc ในกล่องโต้ตอบ "เรียกใช้" เมื่อคุณกด Enter โปรแกรมแสดงเหตุการณ์จะเปิดขึ้น

ในบานหน้าต่างด้านซ้าย ให้ขยาย “Windows Logs” และเลือก “Security”

ที่แผงตรงกลาง คุณจะเห็นรายการเข้าสู่ระบบหลายรายการพร้อมประทับวันที่และเวลา ทุกครั้งที่คุณเข้าสู่ระบบ Windows จะบันทึกรายการเข้าสู่ระบบหลายรายการภายในระยะเวลารวมสองถึงสี่นาที มุ่งเน้นที่เวลาที่ทำรายการเหล่านี้ และมองหาเวลาใดก็ตามที่คุณไม่ได้เข้าสู่ระบบอย่างแข็งขัน

หากมีรายการ แสดงว่ามีคนเข้าถึงพีซีของคุณ Windows จะไม่สร้างรายการปลอม ดังนั้นคุณสามารถเชื่อถือข้อมูลนี้ได้ นอกจากนี้ คุณยังสามารถตรวจสอบว่ามีการเข้าถึงบัญชีใดในช่วงเวลานั้น (หากคุณมีหลายบัญชี) ในการตรวจสอบ ให้ดับเบิลคลิกที่รายการ "การเข้าสู่ระบบแบบพิเศษ" ในช่วงเวลานั้น และ "คุณสมบัติของกิจกรรม" จะเปิดขึ้น ที่นี่คุณจะเห็นชื่อบัญชีถัดจาก “ชื่อบัญชี”

โปรแกรมดูเหตุการณ์เป็นวิธีที่ยอดเยี่ยมในการดูประวัติการเริ่มต้นและปิดเครื่องพีซี นอกจากนี้ยังสามารถใช้เป็นเบาะแสว่าอาจมีคนเปิดและใช้พีซีของคุณในขณะที่คุณไม่อยู่

แสดงรายละเอียดการเข้าสู่ระบบครั้งล่าสุดเมื่อเริ่มต้น

วิธีการข้างต้นค่อนข้างแข็งแกร่งในการจับผู้บุกรุก แต่ถ้าพวกเขาฉลาดพอ พวกเขาก็สามารถล้างบันทึกเหตุการณ์ทั้งหมดได้ ในกรณีนั้น คุณสามารถตั้งค่ารายละเอียดการเข้าสู่ระบบล่าสุดให้แสดงทันทีที่พีซีเริ่มทำงาน สิ่งนี้จะแสดงให้คุณเห็นเมื่อบัญชีถูกเข้าสู่ระบบครั้งล่าสุดและความพยายามที่ล้มเหลว ข้อมูลนี้ไม่สามารถลบได้ และสามารถช่วยคุณได้สำหรับการเข้าถึงโดยไม่ได้รับอนุญาตในอนาคตเท่านั้น เนื่องจากคุณจะต้องตั้งค่าในครั้งต่อไป

คุณจะแก้ไข Windows Registry ดังนั้นตรวจสอบให้แน่ใจว่าคุณได้สร้างข้อมูลสำรองไว้ กด ชนะ + R แล้วป้อน regedit ในกล่องโต้ตอบเรียกใช้เพื่อเปิด Windows Registry ในรีจิสทรี ให้คลิกที่ "ไฟล์ -> ส่งออก" เลือกตำแหน่งสำหรับไฟล์สำรองในตัวเลือกไฟล์ จากนั้นคลิกปุ่ม "บันทึก"

วิธีตรวจสอบข้อมูลการเข้าสู่ระบบก่อนหน้าในสำนักทะเบียน:

1. ย้ายไปยังตำแหน่งที่กล่าวถึงด้านล่าง:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

2. คลิกขวาที่โฟลเดอร์ "ระบบ" และเลือก "ค่า DWORD" จากตัวเลือก "ใหม่"

3. รายการจะถูกสร้างขึ้นพร้อมที่จะเปลี่ยนชื่อ; คุณต้องตั้งชื่อว่า “DisplayLastLogonInfo”

4. ดับเบิลคลิกที่รายการนี้และตั้งค่าเป็น “1”

ตอนนี้เมื่อใดก็ตามที่คุณ (หรือคนอื่น) ลงชื่อเข้าใช้พีซีของคุณ คุณจะเห็นครั้งแรกที่คุณเข้าสู่ระบบครั้งล่าสุดและความพยายามที่ล้มเหลวใดๆ

ตรวจสอบประวัติเบราว์เซอร์

หากเบราว์เซอร์ของคุณลบประวัติโดยอัตโนมัติเมื่อคุณปิด การดำเนินการนี้จะไม่ช่วย แม้ว่าจะไม่เป็นเช่นนั้น หลายคนลืมลบประวัติเมื่อพวกเขากำลังใช้พีซีของผู้อื่นโดยไม่ได้รับอนุญาต เพียงเปิดเบราว์เซอร์ของคุณและเข้าถึงประวัติโดยใช้เมนูการตั้งค่าสำหรับเบราว์เซอร์เฉพาะของคุณ

จับผู้ใช้ระยะไกล

เป็นเรื่องน่าตกใจที่มีคนเข้าสู่ระบบพีซีของคุณด้วยตนเอง แต่จากระยะไกลล่ะ วิธีการข้างต้นยังคงใช้ได้ดีเพื่อแจ้งให้คุณทราบว่ามีผู้ใช้ระยะไกลอยู่บนพีซีของคุณหรือไม่ โดยปกติ ประวัติการเข้าสู่ระบบ Windows ของคุณใน Event Viewer จะแสดงแม้กระทั่งกิจกรรมการเข้าสู่ระบบระยะไกล สิ่งอื่น ๆ ที่ควรตรวจสอบสำหรับการเข้าสู่ระบบ Windows ระยะไกล ได้แก่:

• ตรวจสอบพีซีของคุณเพื่อหาแอปใหม่ๆ หากคุณพบเห็นสิ่งที่คุณไม่ได้ติดตั้งหรือเพิ่งได้รับการติดตั้งโดยไม่ได้รับอนุญาต ให้ค้นคว้าเพื่อดูว่ามันทำอะไรได้บ้าง เป็นไปได้ว่าเป็นผลมาจากมัลแวร์และแอปใหม่อนุญาตให้ผู้ใช้ระยะไกลเข้าสู่ระบบได้
• ตรวจสอบไฟร์วอลล์ของคุณ หากคุณติดตั้งไฟร์วอลล์ไว้ การเชื่อมต่อระยะไกลอาจปรากฏขึ้น คุณอาจสังเกตเห็นการเชื่อมต่อที่ใช้งานอยู่ในปัจจุบัน ใช้ไฟร์วอลล์ของคุณเพื่อบล็อกผู้ใช้ระยะไกล ขั้นตอนและการตั้งค่าจะแตกต่างกันไปตามประเภทของไฟร์วอลล์ และ Windows มีไฟร์วอลล์ในตัว ไปที่ "การตั้งค่า -> ความเป็นส่วนตัวและความปลอดภัย -> ความปลอดภัยของ Windows" จากนั้นไปที่ "ความปลอดภัยแบบเปิด" และเลือก "ไฟร์วอลล์และการป้องกันเครือข่าย" เลือก “การตั้งค่าขั้นสูง” เพื่อดูกิจกรรมที่เกี่ยวข้องกับไฟร์วอลล์

• สแกนหาไวรัส หากมีคนลงชื่อเข้าใช้ Windows จากระยะไกลโดยไม่ได้รับอนุญาต อาจเป็นเพราะมัลแวร์ เรียกใช้การสแกนไวรัสเป็นประจำเพื่อตรวจหาแอปที่เป็นอันตราย หากคุณไม่ได้ติดตั้งอะไรเลย ลองใช้ Windows Defender
• ตรวจสอบว่าโปรแกรมป้องกันไวรัสและไฟร์วอลล์ของคุณไม่ได้ถูกปิดใช้งาน หากสิ่งเหล่านี้ถูกปิดใช้งาน แสดงว่าเป็นสัญญาณของมัลแวร์และการเข้าถึงระยะไกลที่เป็นไปได้

วิธีการข้างต้นควรจะสามารถแจ้งเตือนคุณเกี่ยวกับการเข้าถึงโดยไม่ได้รับอนุญาต อย่างไรก็ตาม พวกเขาจะไม่บอกคุณว่า "ใคร" เข้าถึงบัญชีของคุณจริงๆ ใช่แล้ว คุณจะต้องทำการสืบสวนเพิ่มเติมอีกเล็กน้อยนอกพีซีของคุณ

โปรดจำไว้ว่า หากมีคนใช้บัญชีของคุณและฉลาดพอที่จะล้างร่องรอยของพวกเขา การจับพวกเขาเป็นเรื่องยาก ออกจากระบบบัญชีของคุณเสมอหากคุณออกจากพีซีเพื่อป้องกันไม่ให้ผู้อื่นใช้งาน

คำถามที่พบบ่อย

1. ฉันจะรู้ได้อย่างไรว่าใครกำลังใช้พีซีของฉันอยู่

แม้ว่าประวัติการเข้าสู่ระบบ Windows ของคุณจะแจ้งให้คุณทราบว่ามีบางอย่างผิดปกติ แต่ก็ไม่ได้บอกคุณว่าใครเป็นผู้รับผิดชอบ หากอาจมีผู้กระทำผิดหลายคน ให้ลองซ่อนกล้องหรือแม้แต่เปิดเว็บแคมและบันทึกเมื่อเข้าสู่ระบบ วิธีนี้ใช้ไม่ได้กับการเข้าสู่ระบบจากระยะไกล แต่ช่วยดึงดูดผู้คนในบ้านหรือที่ทำงานของคุณ คุณอาจต้องได้รับอนุญาตในการดำเนินการนี้ในที่ทำงานของคุณ

จนถึงตอนนี้ เราเพิ่งพูดถึงวิธีทางเทคนิคในการตรวจสอบการเข้าถึงโดยไม่ได้รับอนุญาตเท่านั้น คุณยังสามารถใช้วิธีการทางกายภาพเพื่อตรวจสอบการเข้าถึงได้ ตัวอย่างเช่น คุณอาจวางผมหรือเชือกเส้นเล็กบนแป้นพิมพ์หรือเมาส์เพื่อดูว่ามีการใช้งานหรือไม่ คุณสามารถใช้แป้งเนื้อบางเบาบนเมาส์ของคุณ ถ้ามันหายไปหรือจางลง แสดงว่ามีคนใช้มันอยู่ สร้างสรรค์กับดักของคุณ

2. ฉันจะป้องกันการเข้าถึงพีซีของฉันโดยไม่ได้รับอนุญาตได้อย่างไร

หากคุณพบการเข้าสู่ระบบ Windows โดยไม่ได้รับอนุญาต มีหลายวิธีในการป้องกันการเข้าถึงในอนาคต เช่น:

• ตั้งค่าการเข้าสู่ระบบสำหรับพีซีของคุณ คุณอาจตั้งค่า Windows ให้เข้าสู่ระบบโดยอัตโนมัติโดยไม่ต้องใช้รหัสผ่าน หากมีคนใช้พีซีของคุณโดยไม่ได้รับอนุญาต ให้เปลี่ยนกลับไปใช้รหัสผ่าน, PIN หรือแม้แต่การเข้าสู่ระบบไบโอเมตริก (หากมีในอุปกรณ์ของคุณ)
• ออกจากระบบพีซีของคุณเสมอเมื่อคุณไม่ได้ใช้งาน หากมีคนเข้าสู่ระบบ ให้เปลี่ยนรหัสผ่านของคุณทันที
• เพิ่มบัญชีแยกกันสำหรับผู้ใช้แต่ละคน รวมทั้งเด็กด้วย หากคุณมีพีซีที่ใช้ร่วมกัน ตรวจสอบให้แน่ใจว่าผู้ใช้ทุกคนมีบัญชีของตัวเอง ซึ่งจะช่วยปกป้องไฟล์และการตั้งค่าของคุณ อย่างไรก็ตาม โปรดทราบว่าเด็กๆ อาจยังคงใช้การควบคุมโดยผู้ปกครองเพื่อเข้าถึงสิ่งที่ไม่ควรทำ
• ไม่อนุญาตให้เข้าถึงจากระยะไกล เว้นแต่จะเป็นแอปหรือผู้ใช้ที่มีชื่อเสียงที่คุณไว้วางใจอย่างเต็มที่
• ใช้ VPN ทุกครั้งที่คุณใช้ Wi-Fi สาธารณะ หากแฮ็กเกอร์เข้าถึงพีซีของคุณได้ในขณะที่คุณอยู่ในที่สาธารณะ พวกเขาสามารถติดตั้งแอปที่อนุญาตให้กลับเข้าสู่ระบบจากระยะไกลได้ในภายหลัง

เครดิตรูปภาพ:Unsplash