Cách Kiểm Tra Ai Vào Máy Tính Của Mình

Kiểm tra ai truy cập máy tính của bạn

Nhập thông tin để phân tích hoạt động truy cập máy tính và phát hiện người dùng không mong muốn

Kết quả phân tích truy cập

Số lượng truy cập đáng ngờ: 0
Người dùng hoạt động nhiều nhất: Chưa xác định
Lần truy cập gần nhất: Chưa xác định
Mức độ rủi ro: Chưa đánh giá

Hướng dẫn toàn diện: Cách kiểm tra ai vào máy tính của mình (2024)

Việc phát hiện ai đã truy cập máy tính của bạn mà không được phép là vấn đề bảo mật nghiêm trọng. Bài viết này sẽ hướng dẫn bạn 7 phương pháp chuyên nghiệp để kiểm tra hoạt động truy cập, từ các công cụ tích hợp sẵn của Windows đến các giải pháp nâng cao.

1. Kiểm tra Nhật ký Sự kiện Windows (Event Viewer)

Event Viewer là công cụ mạnh mẽ nhất để theo dõi tất cả hoạt động trên máy tính Windows của bạn:

  1. Mở Event Viewer: Nhấn Win + R, gõ eventvwr.msc và nhấn Enter
  2. Điều hướng đến nhật ký bảo mật:
    • Windows Logs → Security
    • Lọc các sự kiện quan trọng:
      • Event ID 4624: Đăng nhập thành công
      • Event ID 4625: Đăng nhập thất bại
      • Event ID 4648: Đăng nhập bằng thông tin xác thực rõ ràng
      • Event ID 4776: Xác thực NTLM (cho truy cập từ xa)
  3. Phân tích dữ liệu:
    • Chú ý đến thời gian đăng nhập bất thường (giờ không hoạt động)
    • Kiểm tra các địa chỉ IP lạ trong trường “Source Network Address”
    • So sánh với lịch sử đăng nhập bình thường của bạn
Event ID Ý nghĩa Mức độ nghiêm trọng Hành động khuyến nghị
4624 Đăng nhập thành công Thấp/Trung bình Kiểm tra thời gian và phương thức đăng nhập
4625 Đăng nhập thất bại Cao Điều tra nguyên nhân thất bại (có thể là tấn công brute-force)
4648 Đăng nhập bằng thông tin rõ ràng Rất cao Thay đổi mật khẩu ngay lập tức
4776 Xác thực NTLM (truy cập từ xa) Cao Kiểm tra nguồn gốc kết nối

2. Sử dụng lệnh “net user” và “net session”

Các lệnh Command Prompt cơ bản có thể cung cấp thông tin nhanh về người dùng và phiên làm việc:

  1. Kiểm tra tài khoản người dùng: 
    net user

    Lệnh này liệt kê tất cả tài khoản trên máy tính. Chú ý đến các tài khoản không quen thuộc.

  2. Kiểm tra phiên làm việc hiện tại: 
    net session

    Hiển thị các kết nối từ xa đến máy tính của bạn. Nếu thấy kết nối không mong muốn, có thể có người đang truy cập từ xa.

  3. Kiểm tra lịch sử đăng nhập: 
    net user [tên_người_dùng] | find "Last logon"

    Thay [tên_người_dùng] bằng tên tài khoản cần kiểm tra.

3. Kiểm tra tệp tin gần đây và lịch sử duyệt web

Người dùng không mong muốn thường để lại dấu vết trong:

  • Recent Files:
    • Mở File Explorer → Quick Access → Recent files
    • Kiểm tra các tệp tin bạn không mở
  • Lịch sử duyệt web:
    • Chrome: chrome://history
    • Edge: edge://history
    • Firefox: about:history

    Chú ý đến các trang web bạn không truy cập, đặc biệt là các trang liên quan đến hacking hoặc công cụ từ xa.

  • Tệp tin tạm:
    • Thư mục %temp% (nhấn Win+R → gõ %temp%)
    • Kiểm tra các tệp tin lạ hoặc có ngày tạo gần đây

4. Phát hiện phần mềm gián điệp và keylogger

Các chương trình gián điệp có thể ghi lại mọi hoạt động của bạn:

  1. Quét bằng phần mềm chống virus:
    • Sử dụng Windows Defender (đã tích hợp sẵn)
    • Hoặc cài đặt Malwarebytes, Spybot Search & Destroy
  2. Kiểm tra Task Manager:
    • Nhấn Ctrl+Shift+Esc → Tab Processes
    • Sắp xếp theo CPU/Memory để phát hiện quá trình bất thường
    • Chú ý đến các tiến trình có tên ngẫu nhiên (vd: “svch0st.exe” thay vì “svchost.exe”)
  3. Kiểm tra các kết nối mạng: 
    netstat -ano

    Lệnh này hiển thị tất cả kết nối mạng. Kiểm tra các kết nối đến địa chỉ IP lạ.

Dấu hiệu Ý nghĩa Xác suất nguy hiểm
Tiến trình có tên ngẫu nhiên (vd: “asdwq.exe”) Có thể là malware ngụy trang 90%
Kết nối đến IP nước ngoài không rõ nguồn gốc Có thể là truy cập từ xa hoặc botnet 85%
Tăng đột biến sử dụng CPU/mạng khi không sử dụng máy Dấu hiệu của phần mềm gián điệp hoặc đào tiền ảo 80%
Các tệp tin hệ thống bị sửa đổi ngày tạo Dấu hiệu của rootkit hoặc backdoor 95%

5. Kiểm tra các công cụ truy cập từ xa

Nhiều phần mềm truy cập từ xa như TeamViewer, AnyDesk có thể được cài đặt mà bạn không hay biết:

  1. Kiểm tra chương trình đã cài đặt:
    • Settings → Apps → Apps & features
    • Sắp xếp theo ngày cài đặt để phát hiện phần mềm mới
  2. Kiểm tra dịch vụ đang chạy:
    • Nhấn Win + R → gõ services.msc
    • Tìm các dịch vụ liên quan đến remote access
  3. Kiểm tra cổng mạng mở:
    • Sử dụng lệnh: 
      netstat -ano | findstr LISTENING
    • Các cổng phổ biến của phần mềm từ xa:
      • TeamViewer: 5938
      • AnyDesk: 7070
      • RDP: 3389
      • VNC: 5900

6. Sử dụng công cụ chuyên nghiệp

Đối với người dùng nâng cao, các công cụ sau rất hữu ích:

  • Process Explorer (từ Microsoft):
    • Phiên bản nâng cao của Task Manager
    • Hiển thị chi tiết về các tiến trình, bao gồm các tiến trình ẩn
  • Wireshark:
    • Phân tích gói tin mạng chi tiết
    • Phát hiện các kết nối bất thường
  • Autoruns:
    • Hiển thị tất cả chương trình khởi động cùng Windows
    • Phát hiện malware ẩn trong quá trình khởi động
  • LastActivityView (từ NirSoft):
    • Hiển thị lịch sử hoạt động chi tiết
    • Bao gồm thời gian khởi động, đăng nhập, tắt máy

7. Phòng ngừa trong tương lai

Sau khi đã kiểm tra và loại bỏ các truy cập không mong muốn, hãy áp dụng các biện pháp phòng ngừa:

  1. Thay đổi tất cả mật khẩu:
    • Sử dụng mật khẩu mạnh (ít nhất 12 ký tự, bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt)
    • Không sử dụng lại mật khẩu cũ
  2. Bật xác thực hai yếu tố (2FA):
    • Đối với tài khoản Microsoft
    • Đối với các dịch vụ quan trọng khác
  3. Cập nhật hệ thống thường xuyên:
    • Bật Windows Update tự động
    • Cập nhật driver và phần mềm thường xuyên
  4. Cấu hình tường lửa:
    • Chỉ cho phép các kết nối cần thiết
    • Chặn các cổng không sử dụng (đặc biệt là 3389 cho RDP)
  5. Sử dụng tài khoản Standard thay vì Administrator:
    • Giảm thiểu thiệt hại nếu tài khoản bị xâm nhập
    • Chỉ sử dụng quyền admin khi thực sự cần thiết

Nguồn thông tin uy tín về bảo mật máy tính

Để tìm hiểu thêm về bảo mật máy tính và phát hiện truy cập trái phép, bạn có thể tham khảo các nguồn sau:

  1. CISA (Cybersecurity and Infrastructure Security Agency) .gov

    Cơ quan an ninh mạng của chính phủ Mỹ cung cấp hướng dẫn chi tiết về phát hiện và phòng chống xâm nhập.

  2. US-CERT (United States Computer Emergency Readiness Team) .gov

    Cung cấp cảnh báo và giải pháp cho các mối đe dọa bảo mật mới nhất.

  3. SANS Institute .org

    Tổ chức đào tạo và nghiên cứu bảo mật hàng đầu thế giới với nhiều tài liệu miễn phí.

Kết luận

Việc kiểm tra ai đã truy cập máy tính của bạn đòi hỏi sự kết hợp giữa kiến thức kỹ thuật và công cụ phù hợp. Bắt đầu với các phương pháp đơn giản như kiểm tra Event Viewer và lịch sử đăng nhập, sau đó sử dụng các công cụ nâng cao hơn nếu cần thiết.

Hãy nhớ rằng phòng ngừa luôn tốt hơn chữa trị. Áp dụng các biện pháp bảo mật cơ bản như sử dụng mật khẩu mạnh, cập nhật hệ thống và hạn chế quyền truy cập có thể ngăn chặn phần lớn các cuộc tấn công.

Nếu phát hiện dấu hiệu xâm nhập, hãy:

  1. Ngắt kết nối internet ngay lập tức
  2. Thay đổi tất cả mật khẩu từ thiết bị sạch
  3. Quét toàn bộ hệ thống bằng phần mềm chống virus
  4. Xem xét cài đặt lại hệ điều hành nếu nghi ngờ nhiễm malware nặng
  5. Báo cáo sự việc cho bộ phận CNTT của tổ chức (nếu có)

Leave a Reply

Your email address will not be published. Required fields are marked *