Источник: https://technet.microsoft.com/ru-ru/library/cc787567%28v=ws.10%29.aspx
Применяется к:
Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2, Windows Vista
Описание
Дополнительные сведения о настройках параметров политики аудита см. в разделе Определение и изменение параметров политики аудита для категории события.
При записи события 528 в журнал событий также заносится тип входа. Типы входа в систему перечислены в следующей таблице.
Дополнительные сведения (на английском языке) см. в разделе о событиях безопасности на веб-узле Microsoft Windows Resource Kits.
Применяется к:
Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2, Windows Vista
Описание
Этот параметр безопасности определяет, подлежит ли аудиту
каждая попытка пользователя войти в систему с компьютера или выйти из
нее.
События входа в систему формируются контроллерами домена в процессе проверки учетных записей домена и локальными компьютерами при работе с локальными учетными записями. Если включены обе категории политик — учетных записей и аудита при входе в систему, — входы в систему, использующие учетную запись домена, формируют события входа или выхода на рабочей станции или сервере и событие входа в систему на контроллере домена. Кроме того, интерактивные входы с использованием учетной записи домена на рядовой сервер или рабочую станцию формируют событие входа на контроллере домена, в то время как при входе пользователя производится поиск сценариев входа и политик. Дополнительные сведения о событиях входа в систему см. в разделе Аудит событий входа в систему.
Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа.
Чтобы установить значение Нет аудита, в диалоговом окне Свойства данного параметра политики установите флажок Определить следующие параметры политики и снимите флажки Успех и Отказ.
По умолчанию: «Успех».
Настройка этого параметра безопасности
Настроить данный параметр безопасности можно, открыв
соответствующую политику и развернув дерево консоли следующим образом:
Конфигурация компьютера\Конфигурация Windows\Параметры
безопасности\Локальные политики\Политика аудита\.События входа в систему формируются контроллерами домена в процессе проверки учетных записей домена и локальными компьютерами при работе с локальными учетными записями. Если включены обе категории политик — учетных записей и аудита при входе в систему, — входы в систему, использующие учетную запись домена, формируют события входа или выхода на рабочей станции или сервере и событие входа в систему на контроллере домена. Кроме того, интерактивные входы с использованием учетной записи домена на рядовой сервер или рабочую станцию формируют событие входа на контроллере домена, в то время как при входе пользователя производится поиск сценариев входа и политик. Дополнительные сведения о событиях входа в систему см. в разделе Аудит событий входа в систему.
Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа.
Чтобы установить значение Нет аудита, в диалоговом окне Свойства данного параметра политики установите флажок Определить следующие параметры политики и снимите флажки Успех и Отказ.
По умолчанию: «Успех».
Настройка этого параметра безопасности
Дополнительные сведения о настройках параметров политики аудита см. в разделе Определение и изменение параметров политики аудита для категории события.
| События входа в систему | Описание |
|---|---|
|
528 |
Успешный вход пользователя на компьютер. Сведения о типах входа в систему см. ниже в таблице типов входа в систему. |
|
529 |
Отказ входа в систему. Попытка входа в систему с
неизвестным именем пользователя или с известным именем, но неправильным
паролем. |
|
530 |
Отказ входа в систему. Попытка входа в систему с учетной записью пользователя вне допустимого интервала времени. |
|
531 |
Отказ входа в систему. Попытка входа в систему с использованием отключенной учетной записи пользователя. |
|
532 |
Отказ входа в систему. Попытка входа в систему с использованием устаревшей учетной записи пользователя. |
|
533 |
Отказ входа в систему. Попытка входа в систему пользователя, которому не разрешен вход на данный компьютер. |
|
534 |
Отказ входа в систему. Попытка входа в систему с указанием неразрешенного типа входа. |
|
535 |
Отказ входа в систему. Срок действия пароля для указанной учетной записи истек. |
|
536 |
Отказ входа в систему. Служба Net Logon отключена. |
|
537 |
Отказ входа в систему. Попытка входа в систему не удалась по другим причинам. Примечание
|
|
538 |
Процесс выхода пользователя из системы завершен. |
|
539 |
Отказ входа в систему. Во время попытки входа в систему учетная запись пользователя заблокирована. |
|
540 |
Успешный вход пользователя в сеть. |
|
541 |
Завершен основной режим проверки подлинности по
протоколу IKE между локальным компьютером и зарегистрированной
одноранговой тождественностью (установление надежного сопоставления),
или быстрый режим установил канал данных. |
|
542 |
Канал данных отключен. |
|
543 |
Основной режим отключен. Примечание
|
|
544 |
Отказ основного режима проверки подлинности из-за того,
что партнер не обеспечил действительный сертификат или не подтверждена
подлинность подписи. |
|
545 |
Отказ основного режима проверки подлинности из-за отказа Kerberos или неверного пароля. |
|
546 |
Отказ создания надежного соединения IKE, вызванный
поступлением от партнера неприемлемого предложения. Прием пакета,
содержащего неверные данные. |
|
547 |
Отказ во время процедуры установления соединения IKE. |
|
548 |
Отказ входа в систему. Идентификатор надежности (SID),
полученный от доверенного домена, не соответствует SID учетной записи
домена для клиента. |
|
549 |
Отказ входа в систему. Все идентификаторы надежности
SID, соответствующие недоверенным пространствам имен, были отфильтрованы
во время проверки подлинности в лесах. |
|
550 |
Сообщение уведомления, которое может указывать на возможную атаку на службу. |
|
551 |
Пользователь инициировал процесс выхода из системы. |
|
552 |
Пользователь успешно вошел на компьютер, используя
правильные учетные данные, несмотря на то что до этого уже вошел как
другой пользователь. |
|
682 |
Пользователь повторно подключен к отключенному сеансу терминального сервера. |
|
683 |
Пользователь отключен от сеанса терминального сервера без выхода из системы. Примечание
|
При записи события 528 в журнал событий также заносится тип входа. Типы входа в систему перечислены в следующей таблице.
| Тип входа в систему | Название типа входа | Описание |
|---|---|---|
|
2 |
Интерактивный |
Успешный вход пользователя на компьютер. |
|
3 |
Сеть |
Пользователь или компьютер вошли на данный компьютер через сеть. |
|
4 |
Пакетный |
Пакетный тип входа используется пакетными серверами,
исполнение процессов на которых производится по поручению пользователя,
но без его прямого вмешательства. |
|
5 |
Служба |
Служба запущена Service Control Manager. |
|
7 |
Разблокирование |
Эта рабочая станция разблокирована. |
|
8 |
NetworkCleartext |
Пользователь вошел на данный компьютер через сеть.
Пароль пользователя передан в пакет проверки подлинности в его
нехешированной форме. Встроенная проверка подлинности упаковывает все
хешированные учетные записи перед их отправкой через сеть. Учетные
данные не передаются через сеть открытым текстом. |
|
9 |
NewCredentials |
Посетитель клонировал свой текущий маркер и указал
новые учетные записи для исходящих соединений. Новый сеанс входа в
систему имеет ту же самую локальную тождественность, но использует
отличающиеся учетные записи для сетевых соединений. |
|
10 |
RemoteInteractive |
Пользователь выполнил удаленный вход на этот компьютер, используя Terminal Services или Remote Desktop. |
|
11 |
CachedInteractive |
Пользователь вошел на этот компьютер с сетевыми
учетными данными, которые хранились локально на компьютере. Контроллер
домена не использовался для проверки учетных данных. |
Комментариев нет:
Отправить комментарий