Controlla eventi di accesso
Descrizione
Questa impostazione di protezione determina se controllare ogni istanza di accesso o di disconnessione di un utente in un computer.
Gli eventi di accesso degli account di dominio vengono generati nei controller di dominio, mentre quelli degli account locali vengono registrati nei computer locali. Se sono abilitate entrambe le categorie di criteri di controllo dell'accesso, per gli accessi mediante account di dominio viene generato un evento di accesso o disconessione nella workstation o nel server, mentre viene generato un evento di accesso degli account nel controller di dominio. Inoltre, per gli accessi interattivi a un server o a una workstation membri mediante account di dominio viene generato un evento di accesso nel controller del dominio nel momento in cui vengono richiamati gli script e i criteri di accesso durante la connessione dell'utente. Per ulteriori informazioni sugli eventi di accesso degli account, vedere Controlla eventi accesso account.
Se si definisce questa impostazione di criteri, è possibile specificare se controllare le operazioni riuscite o non riuscite oppure non controllare alcun tipo di evento. I controlli delle operazioni riuscite generano una voce di controllo quando il tentativo di accesso riesce. I controlli delle operazioni non riuscite generano una voce di controllo quando il tentativo di accesso non riesce.
Per impostare questo valore su Nessun controllo, selezionare la casella di controllo Definisci le impostazioni relative ai criteri nella finestra di dialogo Proprietà dell'impostazione del criterio e deselezionare le caselle di controllo Operazioni riuscite e Operazioni non riuscite.
Impostazione predefinita: Operazioni riuscite.
Configurazione dell'impostazione di protezione
È possibile configurare questa impostazione di protezione aprendo il criterio appropriato ed espandendo la struttura della console nel modo indicato: Configurazione computer\Impostazioni di Windows\Impostazioni protezione\Criteri locali\Criteri controllo\
Per istruzioni specifiche sulla configurazione delle impostazioni dei criteri di controllo, vedere Define or modify auditing policy settings for an event category.
|
Eventi di accesso
|
Descrizione
|
|
528
|
Un utente si è connesso al computer. Per informazioni sul tipo di accesso, vedere la tabella dei tipi di accesso riportata di seguito.
|
|
529
|
Errore di accesso. È stato effettuato un tentativo di accesso con un nome utente sconosciuto o con un nome utente noto ma password errata.
|
|
530
|
Errore di accesso. È stato effettuato un tentativo di accesso con un account utente oltre il tempo consentito.
|
|
531
|
Errore di accesso. È stato effettuato un tentativo di accesso con un account disattivato.
|
|
532
|
Errore di accesso. È stato effettuato un tentativo di accesso con un account scaduto.
|
|
533
|
Errore di accesso. È stato effettuato un tentativo di accesso da parte di un utente non autorizzato all'accesso al computer.
|
|
534
|
Errore di accesso. L'utente ha tentato di connettersi con un tipo di accesso non consentito.
|
|
535
|
Errore di accesso. La password dell'account specificato è scaduta.
|
|
536
|
Errore di accesso. Il servizio Accesso rete non è attivo.
|
|
537
|
Errore di accesso. Il tentativo di accesso non è riuscito per altri motivi.
Nota
-
In alcuni casi, il motivo dell'errore di accesso può essere sconosciuto.
|
|
538
|
È stato completato il processo di disconnessione per un utente.
|
|
539
|
Errore di accesso. L'account è stato bloccato durante il tentativo di accesso.
|
|
540
|
Un utente si è connesso alla rete.
|
|
541
|
È stata completata l'autenticazione IKE (Internet Key Exchange) in modalità principale tra il computer locale e l'identità peer elencata, stabilendo così un'associazione di protezione, oppure è stato definito un canale di dati con la modalità rapida.
|
|
542
|
È stato terminato il canale di dati.
|
|
543
|
È stata terminata la modalità principale.
Nota
-
Questo evento può verificarsi in seguito alla scadenza dell'intervallo dell'associazione di protezione (l'impostazione predefinita è 8 ore), a modifiche di criteri o alla chiusura del peer.
|
|
544
|
L'autenticazione in modalità principale non è riuscita perché il peer non ha fornito un certificato valido oppure la firma digitale non è stata convalidata.
|
|
545
|
L'autenticazione in modalità principale non è riuscita per un errore Kerberos o per una password non valida.
|
|
546
|
L'associazione di protezione IKE non è riuscita perché il peer ha inviato una proposta non valida. È stato ricevuto un pacchetto contenente dati non validi.
|
|
547
|
Si è verificato un errore durante l'handshake IKE.
|
|
548
|
Errore di accesso. L'ID di protezione (SID) di un dominio attendibile non corrisponde al SID dell'account di dominio del client.
|
|
549
|
Errore di accesso. Tutti i SID corrispondenti a spazi dei nomi non attendibili sono stati esclusi con un filtro durante l'autenticazione tra insiemi di strutture.
|
|
550
|
Messaggio di notifica che potrebbe indicare un possibile attacco di tipo Denial of service.
|
|
551
|
L'utente ha avviato il processo di disconnessione.
|
|
552
|
L'utente si è connesso a un computer utilizzando credenziali esplicite mentre era già connesso come utente diverso.
|
|
682
|
L'utente si è riconnesso a una sessione di Terminal Server disconnessa.
|
|
683
|
L'utente ha interrotto la sessione di Terminal Server senza disconnettersi.
Nota
-
Questo evento viene generato quando l'utente è connesso a una sessione di Terminal Server in rete. Viene visualizzato sul server terminal.
|
Quando si registra l'evento 528, nel registro eventi viene indicato anche il tipo di accesso. Nella tabella seguente vengono descritti i tipi di accesso.
|
Tipo di accesso
|
Titolo dell'accesso
|
Descrizione
|
|
2
|
Interattivo
|
Un utente si è connesso al computer.
|
|
3
|
Rete
|
Un utente o un computer si sono connessi a questo computer dalla rete.
|
|
4
|
Batch
|
Il tipo di accesso batch viene utilizzato dai server batch, dove possono essere eseguiti processi per conto di un utente senza richiederne l'intervento diretto.
|
|
5
|
Servizio
|
È stato avviato un servizio da Gestione controllo servizi.
|
|
7
|
Sblocco
|
La workstation è stata sbloccata.
|
|
8
|
Testo non crittografato in rete
|
Un utente si è connesso a questo computer dalla rete. La password dell'utente è stata inoltrata al pacchetto di autenticazione in un formato privo di hash. L'autenticazione predefinita crea pacchetti di tutte le credenziali con hash prima di inviarle attraverso la rete. Le credenziali non attraversano la rete in formato solo testo.
|
|
9
|
Nuove credenziali
|
Un chiamante ha clonato il token corrente e ha specificato nuove credenziali per le connessioni in uscita. La nuova sessione di accesso possiede la stessa identità locale, ma utilizza credenziali diverse per le altre connessioni di rete.
|
|
10
|
RemoteInteractive
|
Un utente si è connesso in remoto a questo computer utilizzando Servizi terminal o Desktop remoto.
|
|
11
|
CachedInteractive
|
Un utente si è connesso a questo computer con credenziali di rete archiviate localmente nel computer. Il controller di dominio non è stato contattato per verificare le credenziali.
|
Per ulteriori informazioni sugli eventi relativi alla protezione, vedere la sezione dedicata agli eventi di protezione nel sito Web relativo ai Resource Kit di Microsoft Windows.
Per ulteriori informazioni, vedere: