本文由机器翻译。若要查看英语原文,请勾选“英语”复选框。 也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

审核的其他登录/注销事件

 

适用对象:Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

本主题面向 IT 专业人员介绍高级安全审核策略设置,审核其他登录/注销事件,用于确定 Windows 是否生成其他登录或注销事件的审核事件。

这些其他登录或注销的事件包括:

  • 远程桌面会话连接或断开连接。

  • 工作站锁定或解锁。

  • 屏幕保护程序解除或调用。

  • 检测到重放攻击。 此事件指示 Kerberos 请求收到两次是使用完全相同的信息。 通过网络配置错误时也可能导致这种情况。

  • 用户被授予访问权限的无线网络。 它可以是用户帐户或计算机帐户。

  • 用户被授予访问权限的有线 802.1 x 网络。 它可以是用户帐户或计算机帐户。

登录事件对了解用户活动和检测潜在的攻击至关重要。

事件数量:低

Default:未配置

如果配置此策略设置,则会在所指定在运行支持的 Windows 版本的计算机上出现以下事件应用于列表开头的本主题中,此外到 Windows Server 2008 和 Windows Vista。

事件 ID

事件消息

4649

检测到重放攻击。

4778

会话已到窗口站重新连接。

4779

会话已从窗口坞断开连接。

4800

已锁定工作站。

4801

工作站已解锁。

4802

调用屏幕保护程序。

4803

已关闭屏幕保护程序。

5378

请求的凭据委派被策略禁止。

5632

进行了一个请求进行身份验证到无线网络。

5633

进行了一个请求进行身份验证的有线网络。

显示: