Аудит входа в систему

Обновлено: Январь 2005 г.

Назначение: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2, Windows Vista

Аудит входа в систему

Описание

Этот параметр безопасности определяет, подлежит ли аудиту каждая попытка пользователя войти в систему с компьютера или выйти из нее.

События входа в систему формируются контроллерами домена в процессе проверки учетных записей домена и локальными компьютерами при работе с локальными учетными записями. Если включены обе категории политик — учетных записей и аудита при входе в систему, — входы в систему, использующие учетную запись домена, формируют события входа или выхода на рабочей станции или сервере и событие входа в систему на контроллере домена. Кроме того, интерактивные входы с использованием учетной записи домена на рядовой сервер или рабочую станцию формируют событие входа на контроллере домена, в то время как при входе пользователя производится поиск сценариев входа и политик. Дополнительные сведения о событиях входа в систему см. в разделе Аудит событий входа в систему.

Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа.

Чтобы установить значение Нет аудита, в диалоговом окне Свойства данного параметра политики установите флажок Определить следующие параметры политики и снимите флажки Успех и Отказ.

По умолчанию: «Успех».

Настройка этого параметра безопасности

Настроить данный параметр безопасности можно, открыв соответствующую политику и развернув дерево консоли следующим образом: Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Политика аудита\.

Дополнительные сведения о настройках параметров политики аудита см. в разделе Определение и изменение параметров политики аудита для категории события.

 

События входа в систему Описание

528

Успешный вход пользователя на компьютер. Сведения о типах входа в систему см. ниже в таблице типов входа в систему.

529

Отказ входа в систему. Попытка входа в систему с неизвестным именем пользователя или с известным именем, но неправильным паролем.

530

Отказ входа в систему. Попытка входа в систему с учетной записью пользователя вне допустимого интервала времени.

531

Отказ входа в систему. Попытка входа в систему с использованием отключенной учетной записи пользователя.

532

Отказ входа в систему. Попытка входа в систему с использованием устаревшей учетной записи пользователя.

533

Отказ входа в систему. Попытка входа в систему пользователя, которому не разрешен вход на данный компьютер.

534

Отказ входа в систему. Попытка входа в систему с указанием неразрешенного типа входа.

535

Отказ входа в систему. Срок действия пароля для указанной учетной записи истек.

536

Отказ входа в систему. Служба Net Logon отключена.

537

Отказ входа в систему. Попытка входа в систему не удалась по другим причинам.

Примечание

  • В некоторых случаях причина отказа входа в систему может быть неизвестна.

538

Процесс выхода пользователя из системы завершен.

539

Отказ входа в систему. Во время попытки входа в систему учетная запись пользователя заблокирована.

540

Успешный вход пользователя в сеть.

541

Завершен основной режим проверки подлинности по протоколу IKE между локальным компьютером и зарегистрированной одноранговой тождественностью (установление надежного сопоставления), или быстрый режим установил канал данных.

542

Канал данных отключен.

543

Основной режим отключен.

Примечание

  • Примечание. Причиной этого может быть окончание временного интервала, ограничивающего длительность надежного соединения (по умолчанию — 8 часов), изменение политики или одноранговое завершение.

544

Отказ основного режима проверки подлинности из-за того, что партнер не обеспечил действительный сертификат или не подтверждена подлинность подписи.

545

Отказ основного режима проверки подлинности из-за отказа Kerberos или неверного пароля.

546

Отказ создания надежного соединения IKE, вызванный поступлением от партнера неприемлемого предложения. Прием пакета, содержащего неверные данные.

547

Отказ во время процедуры установления соединения IKE.

548

Отказ входа в систему. Идентификатор надежности (SID), полученный от доверенного домена, не соответствует SID учетной записи домена для клиента.

549

Отказ входа в систему. Все идентификаторы надежности SID, соответствующие недоверенным пространствам имен, были отфильтрованы во время проверки подлинности в лесах.

550

Сообщение уведомления, которое может указывать на возможную атаку на службу.

551

Пользователь инициировал процесс выхода из системы.

552

Пользователь успешно вошел на компьютер, используя правильные учетные данные, несмотря на то что до этого уже вошел как другой пользователь.

682

Пользователь повторно подключен к отключенному сеансу терминального сервера.

683

Пользователь отключен от сеанса терминального сервера без выхода из системы.

Примечание

  • Это событие формируется, когда пользователь подключен к сеансу терминального сервера через сеть. Оно появляется на сервере терминалов.

При записи события 528 в журнал событий также заносится тип входа. Типы входа в систему перечислены в следующей таблице.

 

Тип входа в систему Название типа входа Описание

2

Интерактивный

Успешный вход пользователя на компьютер.

3

Сеть

Пользователь или компьютер вошли на данный компьютер через сеть.

4

Пакетный

Пакетный тип входа используется пакетными серверами, исполнение процессов на которых производится по поручению пользователя, но без его прямого вмешательства.

5

Служба

Служба запущена Service Control Manager.

7

Разблокирование

Эта рабочая станция разблокирована.

8

NetworkCleartext

Пользователь вошел на данный компьютер через сеть. Пароль пользователя передан в пакет проверки подлинности в его нехешированной форме. Встроенная проверка подлинности упаковывает все хешированные учетные записи перед их отправкой через сеть. Учетные данные не передаются через сеть открытым текстом.

9

NewCredentials

Посетитель клонировал свой текущий маркер и указал новые учетные записи для исходящих соединений. Новый сеанс входа в систему имеет ту же самую локальную тождественность, но использует отличающиеся учетные записи для сетевых соединений.

10

RemoteInteractive

Пользователь выполнил удаленный вход на этот компьютер, используя Terminal Services или Remote Desktop.

11

CachedInteractive

Пользователь вошел на этот компьютер с сетевыми учетными данными, которые хранились локально на компьютере. Контроллер домена не использовался для проверки учетных данных.

Дополнительные сведения (на английском языке) см. в разделе о событиях безопасности на веб-узле Microsoft Windows Resource Kits.

Дополнительные сведения

Добавления сообщества

ДОБАВИТЬ
Показ: