Н2 Аудит входа в систему
Описание
Этот параметр безопасности определяет, подлежит ли аудиту каждая попытка пользователя войти в систему с компьютера или выйти из нее.
События входа в систему формируются контроллерами домена в процессе проверки учетных записей домена и локальными компьютерами при работе с локальными учетными записями. Если включены обе категории политик — учетных записей и аудита при входе в систему, — входы в систему, использующие учетную запись домена, формируют события входа или выхода на рабочей станции или сервере и событие входа в систему на контроллере домена. Кроме того, интерактивные входы с использованием учетной записи домена на рядовой сервер или рабочую станцию формируют событие входа на контроллере домена, в то время как при входе пользователя производится поиск сценариев входа и политик.
Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа.
По умолчанию: «Успех». А если поставит «Отказ» - то можно будет узнать, кто ПЫТАЛСЯ войти в компьютер.
И далее таблица кодов событий входа в систему.
События входа в систему
Описание
528
Успешный вход пользователя на компьютер. Сведения о типах входа в систему см. ниже в таблице типов входа в систему.
529
Отказ входа в систему. Попытка входа в систему с неизвестным именем пользователя или с известным именем, но неправильным паролем.
530
Отказ входа в систему. Попытка входа в систему с учетной записью пользователя вне допустимого интервала времени.
531
Отказ входа в систему. Попытка входа в систему с использованием отключенной учетной записи пользователя.
532
Отказ входа в систему. Попытка входа в систему с использованием устаревшей учетной записи пользователя.
533
Отказ входа в систему. Попытка входа в систему пользователя, которому не разрешен вход на данный компьютер.
534
Отказ входа в систему. Попытка входа в систему с указанием неразрешенного типа входа.
535
Отказ входа в систему. Срок действия пароля для указанной учетной записи истек.
536
Отказ входа в систему. Служба Net Logon отключена.
537
Отказ входа в систему. Попытка входа в систему не удалась по другим причинам.
Примечание
•
В некоторых случаях причина отказа входа в систему может быть неизвестна.
538
Процесс выхода пользователя из системы завершен.
539
Отказ входа в систему. Во время попытки входа в систему учетная запись пользователя заблокирована.
540
Успешный вход пользователя в сеть.
541
Завершен основной режим проверки подлинности по протоколу IKE между локальным компьютером и зарегистрированной одноранговой тождественностью (установление надежного сопоставления), или быстрый режим установил канал данных.
542
Канал данных отключен.
543
Основной режим отключен.
Примечание
•
Примечание. Причиной этого может быть окончание временного интервала, ограничивающего длительность надежного соединения (по умолчанию — 8 часов), изменение политики или одноранговое завершение.
544
Отказ основного режима проверки подлинности из-за того, что партнер не обеспечил действительный сертификат или не подтверждена подлинность подписи.
545
Отказ основного режима проверки подлинности из-за отказа Kerberos или неверного пароля.
546
Отказ создания надежного соединения IKE, вызванный поступлением от партнера неприемлемого предложения. Прием пакета, содержащего неверные данные.
547
Отказ во время процедуры установления соединения IKE.
548
Отказ входа в систему. Идентификатор надежности (SID), полученный от доверенного домена, не соответствует SID учетной записи домена для клиента.
549
Отказ входа в систему. Все идентификаторы надежности SID, соответствующие недоверенным пространствам имен, были отфильтрованы во время проверки подлинности в лесах.
550
Сообщение уведомления, которое может указывать на возможную атаку на службу.
551
Пользователь инициировал процесс выхода из системы.
552
Пользователь успешно вошел на компьютер, используя правильные учетные данные, несмотря на то что до этого уже вошел как другой пользователь.
682
Пользователь повторно подключен к отключенному сеансу терминального сервера.
683
Пользователь отключен от сеанса терминального сервера без выхода из системы.
Примечание
•
Это событие формируется, когда пользователь подключен к сеансу терминального сервера через сеть. Оно появляется на сервере терминалов.
При записи события 528 в журнал событий также заносится тип входа. Типы входа в систему перечислены в следующей таблице.
Тип входа в систему / Название типа входа / Описание
2 Интерактивный
Успешный вход пользователя на компьютер.
3 Сеть
Пользователь или компьютер вошли на данный компьютер через сеть.
4 Пакетный
Пакетный тип входа используется пакетными серверами, исполнение процессов на которых производится по поручению пользователя, но без его прямого вмешательства.
5 Служба
Служба запущена Service Control Manager.
7 Разблокирование
Эта рабочая станция разблокирована.
8 NetworkCleartext
Пользователь вошел на данный компьютер через сеть. Пароль пользователя передан в пакет проверки подлинности в его нехешированной форме. Встроенная проверка подлинности упаковывает все хешированные учетные записи перед их отправкой через сеть. Учетные данные не передаются через сеть открытым текстом.
9 NewCredentials
Посетитель клонировал свой текущий маркер и указал новые учетные записи для исходящих соединений. Новый сеанс входа в систему имеет ту же самую локальную тождественность, но использует отличающиеся учетные записи для сетевых соединений.
10 RemoteInteractive
Пользователь выполнил удаленный вход на этот компьютер, используя Terminal Services или Remote Desktop.
11 CachedInteractive
Пользователь вошел на этот компьютер с сетевыми учетными данными, которые хранились локально на компьютере. Контроллер домена не использовался для проверки учетных данных.
| 
Каталог статей
