Scoprire se qualcuno ha usato il pc in nostra assenza

Com'è possibile scoprire se qualcuno ha usato il pc in nostra assenza oppure, comunque, ha provato ad accedervi? Quando si utilizza Windows si lasciano sul sistema molteplici tracce dell'attività espletata.

Com’è possibile scoprire se qualcuno ha usato il pc in nostra assenza oppure, comunque, ha provato ad accedervi? Quando si utilizza Windows si lasciano sul sistema molteplici tracce dell’attività espletata. È quindi piuttosto semplice stabilire se altre persone hanno utilizzato il computer risalendo anche ai file che sono stati aperti od ai programmi che sono stati avviati.

I registri che Windows mantiene costantemente aggiornati sono la prima area che sarebbe bene controllare. Nelle più recenti versioni del sistema operativo di Microsoft, per consultare i file di log, è sufficiente cliccare sul pulsante Start quindi digitare Visualizzatore eventi:

Il Visualizzatore eventi di Windows consente di accedere ai registri che riguardano quattro differenti aree: funzionamento delle applicazioni, installazione di programmi e driver, sicurezza e sistema. In un precedente nostro articolo (Velocizzare Windows 7 con alcuni semplici suggerimenti) avevamo spiegato come velocizzare Windows 7 traendo vantaggio proprio dalle informazioni via a via annotate nei registri degli eventi. Anche i dettagli sull’eventuale comparsa di schermate blu sono conservati nel registro degli eventi (Schermata blu in Windows: che cosa può provocarne la comparsa).
Appare quindi evidente l’importanza che uno strumento quale il Visualizzatore eventi di Windows riveste nello stabilire la causa di un problema e nel rendersi conto delle attività che sono state svolte con il personal computer.

Per verificare se qualcuno ha usato il computer, una delle aree più interessanti del Visualizzatore eventi è senza dubbio quella chiamata Sicurezza. Qui sono elencati, tra gli altri, tutti i tentativi di accesso e disconnessione degli account utente configurati sul personal computer. Windows tiene traccia anche dei tentativi di login verso siti web remoti riportando il nome utente utilizzato ed il server di destinazione.
Per individuare a colpo d’occhio ciò che si sta cercando, l’informazione più utile è resa certamente dagli eventi che sono indicati con l’identificativo (ID) 4624 (Accesso nella colonna Categoria attività). Essi, infatti, forniscono un’indicazione su ogni tentativo di accesso al sistema o verso i siti remoti sui quali è richiesta l’autenticazione.

Analogamente, per verificare se è stata richiesta la disconnessione di un account utente (logout), è possibile individuare – nella lista – gli eventi con ID 4647.
Il riquadro sottostante (scheda Generale) contiene il nome dell’account utente utilizzato per le varie operazioni di login e logout.

Un’altra possibile soluzione consiste nel verificare l’elenco degli ultimi file aperti. Ogniqualvolta s’interagisce con un file od un documento, Windows provvede ad aggiornare la lista conservata in una speciale cartella di sistema (nel caso di Windows 7 e Windows Vista è %appdata%\Microsoft\Windows\Recent; in Windows XP è %userprofile%\Recent).
Per effettuare un controllo, quindi, è possibile portarsi nelle cartelle indicate ed ordinare la lista per data di creazione del file, cliccando sulla colonna Ultima modifica:

Qualora si volesse ripristinare l’elenco dei file recenti nel menù Start di Windows 7, basterà fare clic con il tasto destro del mouse sulla barra delle applicazioni, scegliere Proprietà, cliccare sulla scheda Menu Start, sul pulsante Personalizza infine spuntare la casella Elementi recenti:

Dopo aver fatto clic su OK quindi ancora sul pulsante OK, nel menù Start di Windows 7 si troverà la voce Oggetti recenti.

Il software RecentFilesView, consente non soltanto di recuperare l’elenco degli ultimi file aperti dalla directory di sistema Recent ma anche di attingere alle informazioni addizionali contenute nel registro di sistema di Windows. Il programma, in particolare, è capace di consultare ed estrapolare il contenuto delle cosiddette “liste MRU” (acronimo di Most Recently Used) salvate appunto nel registro di Windows. Tali elenchi fungono da ulteriore “spia” delle attività precedentemente espletate sul sistema.
I file di cui si trova traccia negli elenchi MRU ma che non sono più presenti sul disco fisso perché già eliminati vengono evidenziati in rosa.

Anche in questo caso, il consiglio è quello di cliccare una volta sulla colonna Modified time in modo da ottenere l’elenco dei file utilizzati di recente in ordine decrescente.

Utilizzando la casella di ricerca di Windows Explorer, è poi possibile individuare rapidamente tutti i file che sono stati modificati dalle applicazioni in uso. Eventuali file, presenti nella cartella dei file temporanei di Windows oppure nelle varie cartelle di sistema (ad esempio Downloads), offrono un’istantanea abbastanza fedele delle operazioni che sono state svolte.
Nelle versioni di Windows più recenti basta accedere, dall’interfaccia del sistema operativo, ad esempio, al disco C: quindi selezionare Ultima modifica nella casella di ricerca in alto a destra.

Scegliendo una data dal calendario, è possibile individuare in pochi secondi tutti i file che sono stati modificati nel giorno indicato.
Per effettuare la ricerca specificando un intervallo di date, è possibile digitare – nella casella di ricerca – ultimamodifica:22/09/2013 .. 24/09/2013 sostituendo ovviamente le date d’interesse.

Ovviamente, la cronologia dei vari browser installati (a meno che non sia stata ripulita) offre un preciso quadro dei siti web che sono stati visitati.

Ricevere un’e-mail ogniqualvolta qualcuno tenta di utilizzare il nostro computer

Se il sistema è sempre connesso alla rete Internet, è possibile programmare un evento che venga eseguito da Windows solamente al verificarsi di specifiche condizioni.
È possibile ad esempio ricevere un’e-mail quando un utente cerca di usare il computer avviando l’Utilità di pianificazione di Windows (basta digitare Utilità di pianificazione nella casella Cerca programmi e file del menù Start) ed impostando l’esecuzione automatica del software libero MailSend ogniqualvolta il sistema viene avviato o si cerca di “sbloccarlo”.

Per l’invio automatico del messaggio di posta elettronica è possibile sfruttare diversi espedienti e molteplici utilità. Piuttosto famosa è l’utility Blat, anch’essa gratuita, che però ha lo svantaggio di essere valutata come potenzialmente nociva da molti motori di scansione antivirus ed antimalware.

MailSend, invece, è attualmente meno “strapazzato” dai motori antivirus (le uniche due segnalazioni vanno assolutamente considerate come falsi positivi).

MailSend
Download: code.google.com
Compatibile con: tutte le versioni di Windows
Licenza: GNU GPL

Dalla colonna di destra dell’Utilità di pianificazione di Windows bisognerà scegliere Crea attività quindi, alla comparsa della finestra seguente, inserire un nome per l’attività e selezionare l’opzione Esegui indipendentemente dalla connessione degli utenti.

Nella scheda Attivazione è necessario cliccare su Nuovo quindi, dal menù Avvia l’attività bisognerà scegliere All’avvio oppure Allo sblocco della workstation.

Optando per una delle due impostazioni, l’e-mail verrà in ogni caso spedita ad ogni avvio del sistema oppure allo sblocco dello stesso. Qualora lo si desiderasse, è possibile definire criteri alternativi per l’invio della mail scegliendo in primis Al verificarsi di un evento quindi facendo leva sul menù a tendina Registro.

Dalla scheda Azioni, si dovrà quindi fare clic sul pulsante Nuova, lasciare selezionata la voce Avvio programma infine digitare quanto segue nella casella Programma o script:

c:\mailsend\mailsend1.17b12.exe

L’eseguibile mailsend1.17b12.exe, ovviamente, dovrà essere preventivamente memorizzato nella cartella c:\mailsend.

Nella casella Aggiungi argomenti, previa effettuazione delle opportune sostituazioni, si dovrà invece digitare quanto segue:

-smtp indirizzoserversmtp -t indirizzoemaildestinazione -f indirizzoemailmittente -sub Avviso -M %COMPUTERNAME%" "%USERNAME%

Esempio:

-smtp out.alice.it -t info@ilsoftware.it -f miaemail@sitodiprova.it -sub Avviso -M %COMPUTERNAME%" "%USERNAME%

L’opzione -sub consente di specificare l’oggetto dell’e-mail di avviso mentre quanto inserito dopo lo switch -M costituisce il corpo del testo dell’e-mail. Nel nostro caso, abbiamo deciso di utilizzare due variabili d’ambiente di Windows (%COMPUTERNAME% e %USERNAME%) in modo tale da ottenere il nome del computer e l’account utente dal quale si sta ricevendo l’avviso.
Ulteriori informazioni sulle variabili d’ambiente sono pubblicate nell’articolo Breve guida all’uso delle variabili d’ambiente in Windows.

Chi volesse personalizzare ulteriormente la struttura del messaggio, può trovare ulteriori informazioni sulla sintassi da adoperare a questo indirizzo.

Ti consigliamo anche

Link copiato negli appunti