Аудит отказа входа в систему

Область применения

Определяет, нужно ли проводить аудит каждого экземпляра пользователя, который входит в систему или выходит из него с устройства.

События входа в учетную запись создаются на контроллерах домена для работы с учетной записью домена и на локальных устройствах для локальных действий с учетными записями. Если включены обе категории политики аудита входа и входа в систему, при входе в систему с учетной записью домена генерируется событие входа в систему или выхода из нее на компьютере или сервере, которое создает событие входа в учетную запись на контроллере домена. Кроме того, интерактивный вход на рядовой сервер или рабочую станцию, использующую учетную запись домена, создает событие входа в систему на контроллере домена, так как сценарии входа и политики извлекаются при входе пользователя в систему. Дополнительные сведения о событиях входа в учетную запись можно найти в статье Аудит событий входа в систему.

Если вы определяете этот параметр политики, вы можете указать, следует ли проводить аудит успехов, аудит отказов или вообще не проводить аудит для типа события. Аудит успехов приводит к созданию записи аудита при успешном попытке входа. Аудит отказов приводит к созданию записи аудита при неудачной попытке входа.

Чтобы отключить аудит, в диалоговом окне свойства для этого параметра политики установите флажок определить следующие параметры политики и снимите флажки успех и отказ .

Дополнительные сведения о параметрах политики безопасности для входа в систему можно найти в разделе Вход в систему и выход из нее на странице Дополнительные параметры политики аудита безопасности.

Настройка этого параметра аудита

Вы можете настроить этот параметр безопасности, открыв соответствующую политику в разделе Computer Конфигуратионвиндовс Сеттингссекурити Сеттингслокал ПолиЦиесаудит.

События входаОписание
528Пользователь успешно вошел в систему на компьютере. Сведения о типе входа можно найти в таблице Типы входа ниже.
529Ошибка входа. Попытка входа была выполнена с неизвестным именем пользователя или известным именем пользователя с неправильным паролем.
530Ошибка входа. Попытка входа учетной записи пользователя в систему за пределами допустимого времени.
531Ошибка входа. Попытка входа была выполнена с помощью отключенной учетной записи.
532Ошибка входа. Попытка входа была выполнена с помощью просроченной учетной записи.
533Ошибка входа. Попытка входа была предпринята пользователем, который не может войти на этот компьютер.
534Ошибка входа. Пользователь попытался войти в систему с недопустимым типом.
535Ошибка входа. Срок действия пароля для указанной учетной записи истек.
536Ошибка входа. Служба сетевого входа в систему неактивна.
537Ошибка входа. Попытка входа завершилась сбоем по другим причинам.
538Процесс выхода для пользователя завершен.
539Ошибка входа. Учетная запись была заблокирована на момент, когда была выполнена попытка входа.
540Пользователь успешно вошел в сеть.
541Проверка подлинности IKE основного режима выполнена между локальным компьютером и указанным идентификатором однорангового узла (установление сопоставления безопасности), или быстрый режим установил канал данных.
542Канал данных прерван.
543Главный режим завершен.
544Не удалось выполнить проверку подлинности основного режима, так как узел не предоставил действительный сертификат или подпись не была проверена.
545Не удалось выполнить проверку подлинности основного режима из-за сбоя Kerberos или недопустимого пароля.
546Не удалось установить сопоставление безопасности IKE из-за того, что одноранговый элемент отправил недействительное предложение. Получен пакет, содержащий недопустимые данные.
547В ходе подтверждения IKE произошла ошибка.
548Ошибка входа. Идентификатор безопасности (SID) из доверенного домена не совпадает с SID домена учетной записи клиента.
549Ошибка входа. Все идентификаторы безопасности, соответствующие недоверенным пространствам имен, были отфильтрованы во время проверки подлинности в лесах.
550Сообщение с уведомлением о возможной атаке на службу.
551Пользователь инициировал процесс выхода из системы.
552Пользователь успешно вошел на компьютер с помощью явных учетных данных, но уже вошел в систему как другой пользователь.
682Пользователь повторно подключен к отключенному сеансу сервера терминалов.
683Пользователь отключил сеанс сервера терминалов, не выходя из системы.
Читайте также:  Игры в 4к разрешении на ps4

Когда регистрируется событие 528, в журнале событий также указывается тип входа в систему. В таблице ниже описаны все типы входов.

Этот блог — мой персональный сетевой помощник + коллекция ссылок

среда, 6 января 2016 г.

Аудит входа в систему

Применяется к:
Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2, Windows Vista

Этот параметр безопасности определяет, подлежит ли аудиту каждая попытка пользователя войти в систему с компьютера или выйти из нее.
События входа в систему формируются контроллерами домена в процессе проверки учетных записей домена и локальными компьютерами при работе с локальными учетными записями. Если включены обе категории политик — учетных записей и аудита при входе в систему, — входы в систему, использующие учетную запись домена, формируют события входа или выхода на рабочей станции или сервере и событие входа в систему на контроллере домена. Кроме того, интерактивные входы с использованием учетной записи домена на рядовой сервер или рабочую станцию формируют событие входа на контроллере домена, в то время как при входе пользователя производится поиск сценариев входа и политик. Дополнительные сведения о событиях входа в систему см. в разделе Аудит событий входа в систему.
Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа.

Чтобы установить значение Нет аудита, в диалоговом окне Свойства данного параметра политики установите флажок Определить следующие параметры политики и снимите флажки Успех и Отказ.
По умолчанию: «Успех».

Читайте также:  Жизнь в абхазии отзывы переехавших

Настройка этого параметра безопасности

Вы никогда не задумывались о том, что если вы можете отслеживать деятельность залогиневшегося пользователя ОС Windows, то Вы так же можете и записывать информацию том, кто вошел в систему и, когда они из неё вышел? Это вполне возможно, если в системе Windows использовать функцию аудита входа. Отслеживание входа и выход пользователя очень полезно в организациях, где данные являются конфиденциальными и в ситуациях, когда Вы просто хотите узнать «кто это сделал» в вашей системе Windows. По умолчанию, функция аудита входа отключена в Windows. В этой статье, давайте посмотрим, как включить аудит авторизации и как отслеживания эти события в системе Windows.
Примечание: Аудит входа доступен только в Pro или Enterprise версий Windows 8.

Что такое Аудит входа

Аудит входа в систему — это встроенный параметр Windows, который можно найти в «Редакторе групповой локальной политики», который позволяет администратором Windows вести журнал и аудит каждого пользовательского входи и выхода на локальном компьютере или в сети. Также эта функция способна отслеживать любые неудачные попытки входа в систему. Это особенно полезно при определении и анализе любых несанкционированных подключений к Вашей машине Windows.

Включение аудита входа

Чтобы включить аудит входа в систему, мы должны настроить параметры групповой политики Windows. Нажмите сочетание клавиш “’Win + R”, введите gpedit.msc в диалоговом окне «Выполнить» и нажмите кнопку «ОК», чтобы открыть окно «Редактор локальной групповой политики».

После того, как редактор будет запущен, Перейдите в области навигации по следующему пути:

«Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита»

В открывшемся списке найдите и дважды кликните мышкой на политику «Аудит входа в систему». Пожалуйста, не путайте «Аудит входа в систему» с «Аудит событий входа в систему», так как это совершенно разных параметры.

Читайте также:  Защита от детей телевизор samsung

После того, как откроется окно, выберите оба флажки «Успех» и «Отказ»’. Теперь нажмите на кнопку «Применить» и кнопку «ОК», чтобы сохранить изменения.

Вот и все, что нужно сделать. С этого момента, каждый вход и выход, а также попытки входа будут записываться в журнале событий.

Просмотр событий аудита входа в систему

Вы можете просмотреть все записи журнала входа, выхода и неудачных попыток входа в систему, в окне просмотра событий Windows. Вы можете запустить программу просмотра событий с помощью функции поиска в меню «Пуск». Если вы используете Windows 8, то Вы можете запустить то же самое окно с помощью меню сочетания клавиш «Win + X» и выбрав из меню пункт «Просмотр событий».

После того как вы запустите окно «Просмотра событий», перейдите к разделу «Журналы Windows», и выберете журнал «Безопасность».

Здесь Вы найдете все, что связанно с событиями безопасности, которые произошли в Вашей системе Windows. Если Вы дважды щелкните по ключевому слову «Аудит успеха», то Вы узнаете детальную информацию по данному событию.

Так же Вы можете фильтровать журнал событий с помощью различных параметров, нажав на кнопку «Фильтр текущего журнала…», расположенную на правой боковой панели окна «Просмотр событий».

Вот и все, что нужно сделать для того, чтобы просто отслеживать регистрацию пользователей в системе Windows.
Надеюсь, что статья была Вам интересна. Оставляйте комментарии, подписывайтесь на наши новости и оставайтесь с нами.

Оцените статью
Добавить комментарий

Adblock
detector