Аудит события входа
[Некоторая информация относится к предварительной версии продукта, в которую к моменту выпуска официальной версии могут быть внесены значительные изменения. Майкрософт не дает никаких гарантий, явных или подразумеваемых, в отношении предоставленной здесь информации.]
Определяет, будет выполняться аудит каждой попытки входа пользователя в систему или выхода из нее на данном устройстве.
События входа в систему формируются контроллерами домена в процессе проверки учетных записей домена и локальными устройствами при работе с локальными учетными записями. Если включены обе категории политик — учетных записей и аудита при входе в систему, — входы в систему, использующие учетную запись домена, формируют события входа или выхода на рабочей станции или сервере и событие входа в систему на контроллере домена. Кроме того, интерактивные входы на рядовой сервер или рабочую станцию с использованием учетной записи домена формируют событие входа на контроллере домена, в то время как при входе пользователя производится поиск сценариев входа и политик. Дополнительные сведения о событиях входа в систему см. в разделе Аудит событий входа в систему.
Определяя этот параметр политики, можно задать аудит успехов, аудит неудач либо отключить аудит всех типов событий. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа.
Чтобы установить значение Нет аудита, в диалоговом окне Свойства данного параметра политики установите флажок Определить следующие параметры политики и снимите флажки Успех и Отказ.
Настройка этого параметра аудита
Настроить данный параметр безопасности можно, открыв соответствующую политику в разделе "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита".
События входа в систему | Описание |
---|---|
528 | Пользователь успешно выполнил вход в систему. Сведения о типах входа в систему см. ниже в таблице типов входа в систему. |
529 | Ошибка при входе в систему. Попытка входа в систему с неизвестным именем пользователя или с известным именем, но неправильным паролем. |
530 | Ошибка при входе в систему. Попытка входа в систему с учетной записью пользователя вне допустимого интервала времени. |
531 | Ошибка при входе в систему. Попытка входа в систему с использованием отключенной учетной записи пользователя. |
532 | Ошибка при входе в систему. Попытка входа в систему с использованием устаревшей учетной записи пользователя. |
533 | Ошибка при входе в систему. Попытка входа в систему пользователя, которому не разрешен вход на данный компьютер. |
534 | Ошибка при входе в систему. Попытка входа в систему с указанием неразрешенного типа входа. |
535 | Ошибка при входе в систему. Срок действия пароля для указанной учетной записи истек. |
536 | Ошибка при входе в систему. Служба сетевого входа в систему отключена. |
537 | Ошибка при входе в систему. Попытка входа в систему не удалась по другим причинам. |
538 | Процесс выхода пользователя из системы завершен. |
539 | Ошибка при входе в систему. Во время попытки входа в систему учетная запись пользователя была заблокирована. |
540 | Успешный вход пользователя в сеть. |
541 | Завершен основной режим проверки подлинности по протоколу IKE между локальным компьютером и удостоверением другого компьютера (установление надежного сопоставления), или быстрый режим установил канал данных. |
542 | Канал данных отключен. |
543 | Основной режим отключен. |
544 | Отказ основного режима проверки подлинности из-за того, что партнер не предоставил действительный сертификат или не подтверждена подлинность подписи. |
545 | Отказ основного режима проверки подлинности из-за отказа Kerberos или неверного пароля. |
546 | Не удалось установить сопоставление безопасности IKE, поскольку другой компьютер послал неправильное предложение. Получен пакет, содержащий неверные данные. |
547 | Отказ во время процедуры установления соединения IKE. |
548 | Ошибка при входе в систему. Идентификатор надежности (SID), полученный от доверенного домена, не соответствует SID учетной записи домена для клиента. |
549 | Ошибка при входе в систему. Все идентификаторы надежности SID, соответствующие ненадежным пространствам имен, были отфильтрованы во время проверки подлинности в лесах. |
550 | Сообщение уведомления, которое может указывать на возможную атаку типа "отказ в обслуживании". |
551 | Пользователь инициировал процесс выхода из системы. |
552 | Пользователь успешно выполнил вход в систему на компьютере с использованием явных учетных данных, несмотря на то что до этого уже вошел как другой пользователь. |
682 | Пользователь повторно подключился к отключенному сеансу терминального сервера. |
683 | Пользователь отключен от сеанса терминального сервера без выхода из системы. |
При записи события 528 в журнал событий также заносится тип входа. Типы входа в систему перечислены в следующей таблице.
Тип входа в систему | Название типа входа | Описание |
---|---|---|
2 | Интерактивный | Пользователь успешно вошел в систему на данном компьютере. |
3 | Сеть | Пользователь или компьютер вошли в систему на данном компьютере через сеть. |
4 | Пакетный | Пакетный тип входа используется пакетными серверами, исполнение процессов на которых производится по поручению пользователя, но без его прямого вмешательства. |
5 | Служба | Служба была запущена диспетчером служб. |
7 | Разблокировка | Эта рабочая станция была разблокирована. |
8 | NetworkCleartext | Пользователь вошел в систему на данном компьютере через сеть. Пароль пользователя передан в пакет проверки подлинности в нехешированной форме. Встроенная проверка подлинности упаковывает все хешированные учетные записи перед их отправкой через сеть. Учетные данные не передаются через сеть открытым текстом. |
9 | NewCredentials | Инициатор вызова клонировал свой текущий маркер и указал новые учетные данные для исходящих соединений. Новый сеанс входа в систему имеет то же самое локальное удостоверение, но использует другие учетные данные для других сетевых соединений. |
10 | RemoteInteractive | Пользователь выполнил вход в систему на этом компьютере через службы терминалов или удаленного рабочего стола. |
11 | CachedInteractive | Пользователь выполнил вход в систему на этом компьютере с сетевыми учетными данными, которые хранились локально на компьютере. Контроллер домена не использовался для проверки учетных данных. |