Аудит событий входа в систему для другой учетной записи
В этом разделе для ИТ-специалистов описывается параметр расширенной политики аудита безопасности Аудит событий входа в систему для другой учетной записи, который позволяет проверять события, созданные при ответе на запросы учетных данных, отправленных для данных входа учетной записи пользователя, которые не являются проверкой учетных данных или билетами Kerberos.
Примеры могут быть следующих типов.
Отключение сеанса удаленного рабочего стола.
Новые сеансы удаленного рабочего стола.
Блокировка и разблокировка рабочей станции.
Вызов заставки.
Закрытие заставки.
Обнаружение атаки с повторением Kerberos, в которой запрос Kerberos с идентичным сведениями был получен дважды.
Примечание
Это условие также может быть вызвано неправильной конфигурацией сети.
Доступ к беспроводной сети предоставлен учетной записи пользователя или компьютера.
Доступ к проводной сети стандарта 802.1x предоставлен учетной записи пользователя или компьютера.
Объем событий: зависит от используемой системы
По умолчанию: не настроено
| Код события | Сообщение о событии |
|---|---|
4649 |
Обнаружена атака с повторением. |
4778 |
Сеанс был повторно присоединен к оконной станции. |
4779 |
Сеанс был отсоединен от оконной станции. |
4800 |
Рабочая станция заблокирована. |
4801 |
Рабочая станция разблокирована. |
4802 |
Вызвана заставка. |
4803 |
Заставка закрыта. |
5378 |
Запрос делегирования учетных данных отклонен политикой. |
5632 |
Сделан запрос проверки подлинности в беспроводной сети. |
5633 |
Сделан запрос проверки подлинности в проводной сети. |