Содержание
Область применения
Определяет, нужно ли проводить аудит каждого экземпляра пользователя, который входит в систему или выходит из него с устройства.
События входа в учетную запись создаются на контроллерах домена для работы с учетной записью домена и на локальных устройствах для локальных действий с учетными записями. Если включены обе категории политики аудита входа и входа в систему, при входе в систему с учетной записью домена генерируется событие входа в систему или выхода из нее на компьютере или сервере, которое создает событие входа в учетную запись на контроллере домена. Кроме того, интерактивный вход на рядовой сервер или рабочую станцию, использующую учетную запись домена, создает событие входа в систему на контроллере домена, так как сценарии входа и политики извлекаются при входе пользователя в систему. Дополнительные сведения о событиях входа в учетную запись можно найти в статье Аудит событий входа в систему.
Если вы определяете этот параметр политики, вы можете указать, следует ли проводить аудит успехов, аудит отказов или вообще не проводить аудит для типа события. Аудит успехов приводит к созданию записи аудита при успешном попытке входа. Аудит отказов приводит к созданию записи аудита при неудачной попытке входа.
Чтобы отключить аудит, в диалоговом окне свойства для этого параметра политики установите флажок определить следующие параметры политики и снимите флажки успех и отказ .
Дополнительные сведения о параметрах политики безопасности для входа в систему можно найти в разделе Вход в систему и выход из нее на странице Дополнительные параметры политики аудита безопасности.
Настройка этого параметра аудита
Вы можете настроить этот параметр безопасности, открыв соответствующую политику в разделе Computer Конфигуратионвиндовс Сеттингссекурити Сеттингслокал ПолиЦиесаудит.
| События входа | Описание |
|---|---|
| 528 | Пользователь успешно вошел в систему на компьютере. Сведения о типе входа можно найти в таблице Типы входа ниже. |
| 529 | Ошибка входа. Попытка входа была выполнена с неизвестным именем пользователя или известным именем пользователя с неправильным паролем. |
| 530 | Ошибка входа. Попытка входа учетной записи пользователя в систему за пределами допустимого времени. |
| 531 | Ошибка входа. Попытка входа была выполнена с помощью отключенной учетной записи. |
| 532 | Ошибка входа. Попытка входа была выполнена с помощью просроченной учетной записи. |
| 533 | Ошибка входа. Попытка входа была предпринята пользователем, который не может войти на этот компьютер. |
| 534 | Ошибка входа. Пользователь попытался войти в систему с недопустимым типом. |
| 535 | Ошибка входа. Срок действия пароля для указанной учетной записи истек. |
| 536 | Ошибка входа. Служба сетевого входа в систему неактивна. |
| 537 | Ошибка входа. Попытка входа завершилась сбоем по другим причинам. |
| 538 | Процесс выхода для пользователя завершен. |
| 539 | Ошибка входа. Учетная запись была заблокирована на момент, когда была выполнена попытка входа. |
| 540 | Пользователь успешно вошел в сеть. |
| 541 | Проверка подлинности IKE основного режима выполнена между локальным компьютером и указанным идентификатором однорангового узла (установление сопоставления безопасности), или быстрый режим установил канал данных. |
| 542 | Канал данных прерван. |
| 543 | Главный режим завершен. |
| 544 | Не удалось выполнить проверку подлинности основного режима, так как узел не предоставил действительный сертификат или подпись не была проверена. |
| 545 | Не удалось выполнить проверку подлинности основного режима из-за сбоя Kerberos или недопустимого пароля. |
| 546 | Не удалось установить сопоставление безопасности IKE из-за того, что одноранговый элемент отправил недействительное предложение. Получен пакет, содержащий недопустимые данные. |
| 547 | В ходе подтверждения IKE произошла ошибка. |
| 548 | Ошибка входа. Идентификатор безопасности (SID) из доверенного домена не совпадает с SID домена учетной записи клиента. |
| 549 | Ошибка входа. Все идентификаторы безопасности, соответствующие недоверенным пространствам имен, были отфильтрованы во время проверки подлинности в лесах. |
| 550 | Сообщение с уведомлением о возможной атаке на службу. |
| 551 | Пользователь инициировал процесс выхода из системы. |
| 552 | Пользователь успешно вошел на компьютер с помощью явных учетных данных, но уже вошел в систему как другой пользователь. |
| 682 | Пользователь повторно подключен к отключенному сеансу сервера терминалов. |
| 683 | Пользователь отключил сеанс сервера терминалов, не выходя из системы. |
Когда регистрируется событие 528, в журнале событий также указывается тип входа в систему. В таблице ниже описаны все типы входов.
Этот блог — мой персональный сетевой помощник + коллекция ссылок
среда, 6 января 2016 г.
Аудит входа в систему
Применяется к:
Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2, Windows Vista
Этот параметр безопасности определяет, подлежит ли аудиту каждая попытка пользователя войти в систему с компьютера или выйти из нее.
События входа в систему формируются контроллерами домена в процессе проверки учетных записей домена и локальными компьютерами при работе с локальными учетными записями. Если включены обе категории политик — учетных записей и аудита при входе в систему, — входы в систему, использующие учетную запись домена, формируют события входа или выхода на рабочей станции или сервере и событие входа в систему на контроллере домена. Кроме того, интерактивные входы с использованием учетной записи домена на рядовой сервер или рабочую станцию формируют событие входа на контроллере домена, в то время как при входе пользователя производится поиск сценариев входа и политик. Дополнительные сведения о событиях входа в систему см. в разделе Аудит событий входа в систему.
Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа.
Чтобы установить значение Нет аудита, в диалоговом окне Свойства данного параметра политики установите флажок Определить следующие параметры политики и снимите флажки Успех и Отказ.
По умолчанию: «Успех».
Настройка этого параметра безопасности
Вы никогда не задумывались о том, что если вы можете отслеживать деятельность залогиневшегося пользователя ОС Windows, то Вы так же можете и записывать информацию том, кто вошел в систему и, когда они из неё вышел? Это вполне возможно, если в системе Windows использовать функцию аудита входа. Отслеживание входа и выход пользователя очень полезно в организациях, где данные являются конфиденциальными и в ситуациях, когда Вы просто хотите узнать «кто это сделал» в вашей системе Windows. По умолчанию, функция аудита входа отключена в Windows. В этой статье, давайте посмотрим, как включить аудит авторизации и как отслеживания эти события в системе Windows.
Примечание: Аудит входа доступен только в Pro или Enterprise версий Windows 8.
Что такое Аудит входа
Аудит входа в систему — это встроенный параметр Windows, который можно найти в «Редакторе групповой локальной политики», который позволяет администратором Windows вести журнал и аудит каждого пользовательского входи и выхода на локальном компьютере или в сети. Также эта функция способна отслеживать любые неудачные попытки входа в систему. Это особенно полезно при определении и анализе любых несанкционированных подключений к Вашей машине Windows.
Включение аудита входа
Чтобы включить аудит входа в систему, мы должны настроить параметры групповой политики Windows. Нажмите сочетание клавиш “’Win + R”, введите gpedit.msc в диалоговом окне «Выполнить» и нажмите кнопку «ОК», чтобы открыть окно «Редактор локальной групповой политики».
После того, как редактор будет запущен, Перейдите в области навигации по следующему пути:
«Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита»
В открывшемся списке найдите и дважды кликните мышкой на политику «Аудит входа в систему». Пожалуйста, не путайте «Аудит входа в систему» с «Аудит событий входа в систему», так как это совершенно разных параметры.
После того, как откроется окно, выберите оба флажки «Успех» и «Отказ»’. Теперь нажмите на кнопку «Применить» и кнопку «ОК», чтобы сохранить изменения.
Вот и все, что нужно сделать. С этого момента, каждый вход и выход, а также попытки входа будут записываться в журнале событий.
Просмотр событий аудита входа в систему
Вы можете просмотреть все записи журнала входа, выхода и неудачных попыток входа в систему, в окне просмотра событий Windows. Вы можете запустить программу просмотра событий с помощью функции поиска в меню «Пуск». Если вы используете Windows 8, то Вы можете запустить то же самое окно с помощью меню сочетания клавиш «Win + X» и выбрав из меню пункт «Просмотр событий».
После того как вы запустите окно «Просмотра событий», перейдите к разделу «Журналы Windows», и выберете журнал «Безопасность».
Здесь Вы найдете все, что связанно с событиями безопасности, которые произошли в Вашей системе Windows. Если Вы дважды щелкните по ключевому слову «Аудит успеха», то Вы узнаете детальную информацию по данному событию.
Так же Вы можете фильтровать журнал событий с помощью различных параметров, нажав на кнопку «Фильтр текущего журнала…», расположенную на правой боковой панели окна «Просмотр событий».
Вот и все, что нужно сделать для того, чтобы просто отслеживать регистрацию пользователей в системе Windows.
Надеюсь, что статья была Вам интересна. Оставляйте комментарии, подписывайтесь на наши новости и оставайтесь с нами.