Аудит входа в систему

В этом разделе для ИТ-специалистов описывается параметр расширенной политики аудита безопасности Аудит входа в систему, который определяет, создает ли операционная система события аудита, когда пользователь пытается войти в систему.

Эти события связаны с созданием сеансов входа в систему и происходят на компьютере, доступ на который выполнялся. В случае интерактивного входа в систему события создаются на компьютере, на который был выполнен вход. В случае входа в сеть (например, доступа к общему ресурсу) события создаются на компьютере, где находится ресурс, доступ к которому выполнялся.

Записываются следующие события.

  • Успех и отказ при входе.

  • Попытки входа с использованием явных учетных данных. Это событие создается, когда процесс пытается войти в систему с учетной записью, явно указав учетные данные этой учетной записи. Это часто происходит в пакетных конфигурациях, таких как запланированные задачи, или при использовании команды Runas.

  • Идентификаторы безопасности (SID) фильтруются.

События входа необходимы для отслеживания действий пользователя и обнаружения потенциальных атак.

Объем событий: низкий на клиентском компьютере; средний на контроллере домена или сетевом сервере

По умолчанию: успех для клиентских компьютеров; успех и отказ для серверов

Код событияСообщение о событии

4624

Учетная запись успешно вошла в систему.

4625

Учетной записи не удалось войти в систему.

4648

Попытка входа с явными учетными данными.

4675

Идентификаторы безопасности были отфильтрованы.

 

Связанные разделы

Параметры расширенной политики аудита безопасности

 

 

Показ: