Аудит события входа
[Некоторая информация относится к предварительной версии продукта, в которую к моменту выпуска официальной версии могут быть внесены значительные изменения. Майкрософт не дает никаких гарантий, явных или подразумеваемых, в отношении предоставленной здесь информации.]
Определяет, будет выполняться аудит каждой попытки входа пользователя в систему или выхода из нее на данном устройстве.
События входа в систему формируются контроллерами домена в процессе проверки учетных записей домена и локальными устройствами при работе с локальными учетными записями. Если включены обе категории политик — учетных записей и аудита при входе в систему, — входы в систему, использующие учетную запись домена, формируют события входа или выхода на рабочей станции или сервере и событие входа в систему на контроллере домена. Кроме того, интерактивные входы на рядовой сервер или рабочую станцию с использованием учетной записи домена формируют событие входа на контроллере домена, в то время как при входе пользователя производится поиск сценариев входа и политик. Дополнительные сведения о событиях входа в систему см. в разделе Аудит событий входа в систему.
Определяя этот параметр политики, можно задать аудит успехов, аудит неудач либо отключить аудит всех типов событий. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа.
Чтобы установить значение Нет аудита, в диалоговом окне Свойства данного параметра политики установите флажок Определить следующие параметры политики и снимите флажки Успех и Отказ.
Настройка этого параметра аудита
Настроить данный параметр безопасности можно, открыв соответствующую политику в разделе "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита".
| События входа в систему | Описание |
|---|---|
| 528 | Пользователь успешно выполнил вход в систему. Сведения о типах входа в систему см. ниже в таблице типов входа в систему. |
| 529 | Ошибка при входе в систему. Попытка входа в систему с неизвестным именем пользователя или с известным именем, но неправильным паролем. |
| 530 | Ошибка при входе в систему. Попытка входа в систему с учетной записью пользователя вне допустимого интервала времени. |
| 531 | Ошибка при входе в систему. Попытка входа в систему с использованием отключенной учетной записи пользователя. |
| 532 | Ошибка при входе в систему. Попытка входа в систему с использованием устаревшей учетной записи пользователя. |
| 533 | Ошибка при входе в систему. Попытка входа в систему пользователя, которому не разрешен вход на данный компьютер. |
| 534 | Ошибка при входе в систему. Попытка входа в систему с указанием неразрешенного типа входа. |
| 535 | Ошибка при входе в систему. Срок действия пароля для указанной учетной записи истек. |
| 536 | Ошибка при входе в систему. Служба сетевого входа в систему отключена. |
| 537 | Ошибка при входе в систему. Попытка входа в систему не удалась по другим причинам. |
| 538 | Процесс выхода пользователя из системы завершен. |
| 539 | Ошибка при входе в систему. Во время попытки входа в систему учетная запись пользователя была заблокирована. |
| 540 | Успешный вход пользователя в сеть. |
| 541 | Завершен основной режим проверки подлинности по протоколу IKE между локальным компьютером и удостоверением другого компьютера (установление надежного сопоставления), или быстрый режим установил канал данных. |
| 542 | Канал данных отключен. |
| 543 | Основной режим отключен. |
| 544 | Отказ основного режима проверки подлинности из-за того, что партнер не предоставил действительный сертификат или не подтверждена подлинность подписи. |
| 545 | Отказ основного режима проверки подлинности из-за отказа Kerberos или неверного пароля. |
| 546 | Не удалось установить сопоставление безопасности IKE, поскольку другой компьютер послал неправильное предложение. Получен пакет, содержащий неверные данные. |
| 547 | Отказ во время процедуры установления соединения IKE. |
| 548 | Ошибка при входе в систему. Идентификатор надежности (SID), полученный от доверенного домена, не соответствует SID учетной записи домена для клиента. |
| 549 | Ошибка при входе в систему. Все идентификаторы надежности SID, соответствующие ненадежным пространствам имен, были отфильтрованы во время проверки подлинности в лесах. |
| 550 | Сообщение уведомления, которое может указывать на возможную атаку типа "отказ в обслуживании". |
| 551 | Пользователь инициировал процесс выхода из системы. |
| 552 | Пользователь успешно выполнил вход в систему на компьютере с использованием явных учетных данных, несмотря на то что до этого уже вошел как другой пользователь. |
| 682 | Пользователь повторно подключился к отключенному сеансу терминального сервера. |
| 683 | Пользователь отключен от сеанса терминального сервера без выхода из системы. |
При записи события 528 в журнал событий также заносится тип входа. Типы входа в систему перечислены в следующей таблице.
| Тип входа в систему | Название типа входа | Описание |
|---|---|---|
| 2 | Интерактивный | Пользователь успешно вошел в систему на данном компьютере. |
| 3 | Сеть | Пользователь или компьютер вошли в систему на данном компьютере через сеть. |
| 4 | Пакетный | Пакетный тип входа используется пакетными серверами, исполнение процессов на которых производится по поручению пользователя, но без его прямого вмешательства. |
| 5 | Служба | Служба была запущена диспетчером служб. |
| 7 | Разблокировка | Эта рабочая станция была разблокирована. |
| 8 | NetworkCleartext | Пользователь вошел в систему на данном компьютере через сеть. Пароль пользователя передан в пакет проверки подлинности в нехешированной форме. Встроенная проверка подлинности упаковывает все хешированные учетные записи перед их отправкой через сеть. Учетные данные не передаются через сеть открытым текстом. |
| 9 | NewCredentials | Инициатор вызова клонировал свой текущий маркер и указал новые учетные данные для исходящих соединений. Новый сеанс входа в систему имеет то же самое локальное удостоверение, но использует другие учетные данные для других сетевых соединений. |
| 10 | RemoteInteractive | Пользователь выполнил вход в систему на этом компьютере через службы терминалов или удаленного рабочего стола. |
| 11 | CachedInteractive | Пользователь выполнил вход в систему на этом компьютере с сетевыми учетными данными, которые хранились локально на компьютере. Контроллер домена не использовался для проверки учетных данных. |