Аудит входа в систему
В этом разделе для ИТ-специалистов описывается параметр расширенной политики аудита безопасности Аудит входа в систему, который определяет, создает ли операционная система события аудита, когда пользователь пытается войти в систему.
Эти события связаны с созданием сеансов входа в систему и происходят на компьютере, доступ на который выполнялся. В случае интерактивного входа в систему события создаются на компьютере, на который был выполнен вход. В случае входа в сеть (например, доступа к общему ресурсу) события создаются на компьютере, где находится ресурс, доступ к которому выполнялся.
Записываются следующие события.
Успех и отказ при входе.
Попытки входа с использованием явных учетных данных. Это событие создается, когда процесс пытается войти в систему с учетной записью, явно указав учетные данные этой учетной записи. Это часто происходит в пакетных конфигурациях, таких как запланированные задачи, или при использовании команды Runas.
Идентификаторы безопасности (SID) фильтруются.
События входа необходимы для отслеживания действий пользователя и обнаружения потенциальных атак.
Объем событий: низкий на клиентском компьютере; средний на контроллере домена или сетевом сервере
По умолчанию: успех для клиентских компьютеров; успех и отказ для серверов
Код события | Сообщение о событии |
---|---|
4624 |
Учетная запись успешно вошла в систему. |
4625 |
Учетной записи не удалось войти в систему. |
4648 |
Попытка входа с явными учетными данными. |
4675 |
Идентификаторы безопасности были отфильтрованы. |