Аудит специального входа
В этом разделе для ИТ-специалистов описывается параметр расширенной политики аудита безопасности Аудит специального входа, который определяет, создает ли операционная система события аудита в особых условиях входа.
Этот параметр политики безопасности определяет, создает ли операционная система события аудита в следующих случаях.
Используется особенный вход. Особенный входа подразумевает вход с правами, эквивалентными правам администратора, и может использоваться, чтобы повысить права процесса.
Член специальной группы входит в систему. Специальные группы — это компонент Windows, который позволяет администратору узнать, когда член одной группы вошел в систему. Администратор может задать список идентификаторов безопасности (SID) группы в реестре. Если один из них добавляется в маркер при входе и эта подкатегория аудита включена, то событие безопасности регистрируется. Подробнее об этой функции см. в статье 947223 базы знаний Майкрософт (https://go.microsoft.com/fwlink/p/?linkid=120183).
Пользователи с особыми разрешениями могут внести изменения в систему. Мы рекомендуем отслеживать их действия.
Объем событий: низкий
По умолчанию: успех
Код события | Сообщение о событии |
---|---|
4964 |
Специальным группам назначен новый сеанс входа. |