Аудит других событий входа и выхода

В этом разделе для ИТ-специалистов описывается параметр расширенной политики аудита безопасности Аудит других событий входа и выхода, который определяет, создает ли Windows события аудита для других событий входа или выхода.

К этим событиям входа или выхода относятся следующие события.

  • Подключение или отключение сеанса удаленного рабочего стола.

  • Блокировка или разблокировка рабочей станции.

  • Открытие или закрытие заставки.

  • Обнаружение атаки с повторением. Это событие означает, что запрос Kerberos с идентичным сведениями был получен дважды. Это условие также может быть вызвано неправильной конфигурацией сети.

  • Пользователю предоставлен доступ к беспроводной сети. Это может быть учетная запись пользователя или компьютера.

  • Пользователю предоставлен доступ к проводной сети стандарта 802.1x. Это может быть учетная запись пользователя или компьютера.

События входа необходимы для анализа действий пользователя и обнаружения потенциальных атак.

Объем событий: низкий

По умолчанию: не настроено

Код событияСообщение о событии

4649

Обнаружена атака с повторением.

4778

Сеанс был повторно присоединен к оконной станции.

4779

Сеанс был отсоединен от оконной станции.

4800

Рабочая станция заблокирована.

4801

Рабочая станция разблокирована.

4802

Вызвана заставка.

4803

Заставка закрыта.

5378

Запрос делегирования учетных данных отклонен политикой.

5632

Сделан запрос проверки подлинности в беспроводной сети.

5633

Сделан запрос проверки подлинности в проводной сети.

 

Связанные разделы

Параметры расширенной политики аудита безопасности

 

 

Показ: