Аудит событий входа в систему для другой учетной записи

В этом разделе для ИТ-специалистов описывается параметр расширенной политики аудита безопасности Аудит событий входа в систему для другой учетной записи, который позволяет проверять события, созданные при ответе на запросы учетных данных, отправленных для данных входа учетной записи пользователя, которые не являются проверкой учетных данных или билетами Kerberos.

Примеры могут быть следующих типов.

  • Отключение сеанса удаленного рабочего стола.

  • Новые сеансы удаленного рабочего стола.

  • Блокировка и разблокировка рабочей станции.

  • Вызов заставки.

  • Закрытие заставки.

  • Обнаружение атаки с повторением Kerberos, в которой запрос Kerberos с идентичным сведениями был получен дважды.

    Примечание  

    Это условие также может быть вызвано неправильной конфигурацией сети.

     
  • Доступ к беспроводной сети предоставлен учетной записи пользователя или компьютера.

  • Доступ к проводной сети стандарта 802.1x предоставлен учетной записи пользователя или компьютера.

Объем событий: зависит от используемой системы

По умолчанию: не настроено

Код событияСообщение о событии

4649

Обнаружена атака с повторением.

4778

Сеанс был повторно присоединен к оконной станции.

4779

Сеанс был отсоединен от оконной станции.

4800

Рабочая станция заблокирована.

4801

Рабочая станция разблокирована.

4802

Вызвана заставка.

4803

Заставка закрыта.

5378

Запрос делегирования учетных данных отклонен политикой.

5632

Сделан запрос проверки подлинности в беспроводной сети.

5633

Сделан запрос проверки подлинности в проводной сети.

 

Связанные разделы

Параметры расширенной политики аудита безопасности

 

 

Показ: