Аудит события входа

[Некоторая информация относится к предварительной версии продукта, в которую к моменту выпуска официальной версии могут быть внесены значительные изменения. Майкрософт не дает никаких гарантий, явных или подразумеваемых, в отношении предоставленной здесь информации.]

Определяет, будет выполняться аудит каждой попытки входа пользователя в систему или выхода из нее на данном устройстве.

События входа в систему формируются контроллерами домена в процессе проверки учетных записей домена и локальными устройствами при работе с локальными учетными записями. Если включены обе категории политик — учетных записей и аудита при входе в систему, — входы в систему, использующие учетную запись домена, формируют события входа или выхода на рабочей станции или сервере и событие входа в систему на контроллере домена. Кроме того, интерактивные входы на рядовой сервер или рабочую станцию с использованием учетной записи домена формируют событие входа на контроллере домена, в то время как при входе пользователя производится поиск сценариев входа и политик. Дополнительные сведения о событиях входа в систему см. в разделе Аудит событий входа в систему.

Определяя этот параметр политики, можно задать аудит успехов, аудит неудач либо отключить аудит всех типов событий. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа.

Чтобы установить значение Нет аудита, в диалоговом окне Свойства данного параметра политики установите флажок Определить следующие параметры политики и снимите флажки Успех и Отказ.

Настройка этого параметра аудита

Настроить данный параметр безопасности можно, открыв соответствующую политику в разделе "Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита".

События входа в системуОписание
528Пользователь успешно выполнил вход в систему. Сведения о типах входа в систему см. ниже в таблице типов входа в систему.
529 Ошибка при входе в систему. Попытка входа в систему с неизвестным именем пользователя или с известным именем, но неправильным паролем.
530Ошибка при входе в систему. Попытка входа в систему с учетной записью пользователя вне допустимого интервала времени.
531Ошибка при входе в систему. Попытка входа в систему с использованием отключенной учетной записи пользователя.
532Ошибка при входе в систему. Попытка входа в систему с использованием устаревшей учетной записи пользователя.
533Ошибка при входе в систему. Попытка входа в систему пользователя, которому не разрешен вход на данный компьютер.
534 Ошибка при входе в систему. Попытка входа в систему с указанием неразрешенного типа входа.
535Ошибка при входе в систему. Срок действия пароля для указанной учетной записи истек.
536Ошибка при входе в систему. Служба сетевого входа в систему отключена.
537Ошибка при входе в систему. Попытка входа в систему не удалась по другим причинам.
538 Процесс выхода пользователя из системы завершен.
539Ошибка при входе в систему. Во время попытки входа в систему учетная запись пользователя была заблокирована.
540Успешный вход пользователя в сеть.
541 Завершен основной режим проверки подлинности по протоколу IKE между локальным компьютером и удостоверением другого компьютера (установление надежного сопоставления), или быстрый режим установил канал данных.
542Канал данных отключен.
543 Основной режим отключен.
544 Отказ основного режима проверки подлинности из-за того, что партнер не предоставил действительный сертификат или не подтверждена подлинность подписи.
545Отказ основного режима проверки подлинности из-за отказа Kerberos или неверного пароля.
546Не удалось установить сопоставление безопасности IKE, поскольку другой компьютер послал неправильное предложение. Получен пакет, содержащий неверные данные.
547Отказ во время процедуры установления соединения IKE.
548Ошибка при входе в систему. Идентификатор надежности (SID), полученный от доверенного домена, не соответствует SID учетной записи домена для клиента.
549Ошибка при входе в систему. Все идентификаторы надежности SID, соответствующие ненадежным пространствам имен, были отфильтрованы во время проверки подлинности в лесах.
550Сообщение уведомления, которое может указывать на возможную атаку типа "отказ в обслуживании".
551 Пользователь инициировал процесс выхода из системы.
552Пользователь успешно выполнил вход в систему на компьютере с использованием явных учетных данных, несмотря на то что до этого уже вошел как другой пользователь.
682Пользователь повторно подключился к отключенному сеансу терминального сервера.
683Пользователь отключен от сеанса терминального сервера без выхода из системы.

 

При записи события 528 в журнал событий также заносится тип входа. Типы входа в систему перечислены в следующей таблице.

Тип входа в системуНазвание типа входаОписание
2Интерактивный Пользователь успешно вошел в систему на данном компьютере.
3СетьПользователь или компьютер вошли в систему на данном компьютере через сеть.
4Пакетный Пакетный тип входа используется пакетными серверами, исполнение процессов на которых производится по поручению пользователя, но без его прямого вмешательства.
5СлужбаСлужба была запущена диспетчером служб.
7РазблокировкаЭта рабочая станция была разблокирована.
8NetworkCleartextПользователь вошел в систему на данном компьютере через сеть. Пароль пользователя передан в пакет проверки подлинности в нехешированной форме. Встроенная проверка подлинности упаковывает все хешированные учетные записи перед их отправкой через сеть. Учетные данные не передаются через сеть открытым текстом.
9NewCredentialsИнициатор вызова клонировал свой текущий маркер и указал новые учетные данные для исходящих соединений. Новый сеанс входа в систему имеет то же самое локальное удостоверение, но использует другие учетные данные для других сетевых соединений.
10RemoteInteractive Пользователь выполнил вход в систему на этом компьютере через службы терминалов или удаленного рабочего стола.
11CachedInteractiveПользователь выполнил вход в систему на этом компьютере с сетевыми учетными данными, которые хранились локально на компьютере. Контроллер домена не использовался для проверки учетных данных.

 

Связанные разделы

Параметры базовой политики аудита безопасности

 

 

Показ: