- Аудит события входа Audit logon events
- Настройка этого параметра аудита Configure this audit setting
- Аудит других событий входа и выхода Audit Other Logon/Logoff Events
- 4624(S). Учетная запись успешно вошел в систему. 4624(S): An account was successfully logged on.
- Типы и описания logon Logon types and descriptions
- Рекомендации по контролю безопасности Security Monitoring Recommendations
Аудит события входа Audit logon events
Область применения Applies to
Определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из нее с устройства. Determines whether to audit each instance of a user logging on to or logging off from a device.
События для регистрации учетной записи создаются на контроллерах домена для действий с учетной записью домена и на локальных устройствах для действий с локальной учетной записью. Account logon events are generated on domain controllers for domain account activity and on local devices for local account activity. Если включены обе категории политики аудита входа и входа, входы в систему, которые используют учетную запись домена, создают событие входа или входа в систему на рабочей станции или сервере, а также создают событие входа в учетную запись на контроллере домена. If both account logon and logon audit policy categories are enabled, logons that use a domain account generate a logon or logoff event on the workstation or server, and they generate an account logon event on the domain controller. Кроме того, интерактивные входы в систему на рядовом сервере или рабочей станции, которые используют учетную запись домена, создают событие входа на контроллере домена при извлечении скриптов и политик входа при входе пользователя в систему. Additionally, interactive logons to a member server or workstation that use a domain account generate a logon event on the domain controller as the logon scripts and policies are retrieved when a user logs on. Дополнительные сведения о событиях для учетной записи для учетной записи см. в записи аудита событий. For more info about account logon events, see Audit account logon events.
Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа. Success audits generate an audit entry when a logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа. Failure audits generate an audit entry when a logon attempt fails.
Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.
Дополнительные сведения о дополнительных параметрах политики безопасности для событий входа см. в разделе «Вход и выйдите» в разделе «Дополнительные параметры политики аудита безопасности». For information about advanced security policy settings for logon events, see the Logon/logoff section in Advanced security audit policy settings.
Настройка этого параметра аудита Configure this audit setting
Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
| События для логотипа Logon events | Описание Description |
|---|---|
| 4624 4624 | Пользователь успешно выполнил вход на компьютер. A user successfully logged on to a computer. Сведения о типе логоса см. в таблице «Типы для логотипа» ниже. For information about the type of logon, see the Logon Types table below. |
| 4625 4625 | Ошибка при работе с логотипом. Logon failure. Была предпринята попытка вводить данные с неизвестным именем пользователя или с неизвестным именем пользователя с некаленным паролем. A logon attempt was made with an unknown user name or a known user name with a bad password. |
| 4634 4634 | Для пользователя завершен процесс выйдите из сети. The logoff process was completed for a user. |
| 4647 4647 | Пользователь инициировал процесс выйдите из сети. A user initiated the logoff process. |
| 4648 4648 | Пользователь успешно выполнил вход на компьютер с использованием явных учетных данных, а уже вошел как другой пользователь. A user successfully logged on to a computer using explicit credentials while already logged on as a different user. |
| 4779 4779 | Пользователь отключил сеанс сервера терминалов, не выйдя из системы. A user disconnected a terminal server session without logging off. |
При регистрации события 528 в журнале событий также регистрируется тип входа. When event 528 is logged, a logon type is also listed in the event log. В следующей таблице описаны все типы для логотипа. The following table describes each logon type.
Аудит других событий входа и выхода Audit Other Logon/Logoff Events
Относится к: Applies to
- Windows 10 Windows 10
- Windows Server 2016 Windows Server 2016
Аудит других событий Logon/Logoff определяет, создает ли Windows события аудита для других событий логона или журналов. Audit Other Logon/Logoff Events determines whether Windows generates audit events for other logon or logoff events.
К числу других событий с логотипом или журналом относятся следующие: These other logon or logoff events include:
Сеанс удаленного рабочего стола подключается или отключается. A Remote Desktop session connects or disconnects.
Рабочие станции заблокированы или разблокированы. A workstation is locked or unlocked.
Заставку экрана вызывается или отклоняться. A screen saver is invoked or dismissed.
Обнаружена атака повтора. A replay attack is detected. Это событие указывает на то, что запрос Kerberos был дважды получен с идентичными сведениями. This event indicates that a Kerberos request was received twice with identical information. Это условие также может быть вызвано неправильной оценкой сети. This condition could also be caused by network misconfiguration.
Пользователю предоставляется доступ к беспроводной сети. A user is granted access to a wireless network. Это может быть учетная запись пользователя или учетная запись компьютера. It can be either a user account or the computer account.
Пользователю предоставляется доступ к проводной сети 802.1x. A user is granted access to a wired 802.1x network. Это может быть учетная запись пользователя или учетная запись компьютера. It can be either a user account or the computer account.
События Logon имеют важное значение для понимания активности пользователей и обнаружения потенциальных атак. Logon events are essential to understanding user activity and detecting potential attacks.
Объем событий: низкий. Event volume: Low.
| Тип компьютера Computer Type | Общий успех General Success | Общий сбой General Failure | Более сильный успех Stronger Success | Более сильный сбой Stronger Failure | Комментарии Comments |
|---|---|---|---|---|---|
| Контроллер домена Domain Controller | Да Yes | Да Yes | Да Yes | Да Yes | Рекомендуется проверять успешность, отслеживать возможные атаки повтора Kerberos, подключение к сеансу терминала и отключение действий, событий проверки подлинности сети и некоторых других событий. We recommend Success auditing, to track possible Kerberos replay attacks, terminal session connect and disconnect actions, network authentication events, and some other events. Объем этих событий обычно очень низкий. Volume of these events is typically very low. События сбоя покажут, когда запрашиваемая делегация credSSP учетных данных была отсеяна политикой. Failure events will show you when requested credentials CredSSP delegation was disallowed by policy. Объем этих событий очень низкий— обычно вы не получите ни одного из этих событий. The volume of these events is very low—typically you will not get any of these events. |
| Сервер участника Member Server | Да Yes | Да Yes | Да Yes | Да Yes | Рекомендуется проверять успешность, отслеживать возможные сеансы подключения и отключения терминалов, событий проверки подлинности сети и некоторых других событий. We recommend Success auditing, to track possible terminal session connect and disconnect actions, network authentication events, and some other events. Объем этих событий обычно очень низкий. Volume of these events is typically very low. События сбоя покажут, когда запрашиваемая делегация credSSP учетных данных была отсеяна политикой. Failure events will show you when requested credentials CredSSP delegation was disallowed by policy. Объем этих событий очень низкий— обычно вы не получите ни одного из этих событий. The volume of these events is very low—typically you will not get any of these events. |
| Workstation Workstation | Да Yes | Да Yes | Да Yes | Да Yes | Рекомендуется проверять успешность, отслеживать возможные сеансы подключения и отключения терминалов, событий проверки подлинности сети и некоторых других событий. We recommend Success auditing, to track possible terminal session connect and disconnect actions, network authentication events, and some other events. Объем этих событий обычно очень низкий. Volume of these events is typically very low. События сбоя покажут, когда запрашиваемая делегация credSSP учетных данных была отсеяна политикой. Failure events will show you when requested credentials CredSSP delegation was disallowed by policy. Объем этих событий очень низкий— обычно вы не получите ни одного из этих событий. The volume of these events is very low—typically you will not get any of these events. |
Список событий: Events List:
4649(S): обнаружена атака повтора. 4649(S): A replay attack was detected.
4778(S): сеанс был подключен к оконной станции. 4778(S): A session was reconnected to a Window Station.
4779(S): сеанс был отключен от оконной станции. 4779(S): A session was disconnected from a Window Station.
4800(S): рабочие станции были заблокированы. 4800(S): The workstation was locked.
4801(S). Рабочие станции были разблокированы. 4801(S): The workstation was unlocked.
4802(S): был вызван засверка экрана. 4802(S): The screen saver was invoked.
4803(S): заставку экрана была отклонена. 4803(S): The screen saver was dismissed.
5378(F): запрашиваемая делегация учетных данных была отсеяна политикой. 5378(F): The requested credentials delegation was disallowed by policy.
5632(S): был сделан запрос на проверку подлинности в беспроводной сети. 5632(S): A request was made to authenticate to a wireless network.
5633(S). Был сделан запрос на проверку подлинности в проводной сети. 5633(S): A request was made to authenticate to a wired network.
4624(S). Учетная запись успешно вошел в систему. 4624(S): An account was successfully logged on.
Относится к: Applies to
- Windows 10; Windows 10
- Windows Server 2016 Windows Server 2016
Подкатегория: Логон аудита Subcategory: Audit Logon
Описание события: Event Description:
Это событие создается при создание сеанса логотипа (на машине назначения). This event generates when a logon session is created (on destination machine). Он создается на компьютере, к котором был создан сеанс. It generates on the computer that was accessed, where the session was created.
Рекомендации см. в рекомендациях по мониторингу безопасности для этого события. For recommendations, see Security Monitoring Recommendations for this event.
XML события: Event XML:
Необходимые роли сервера: нет. Required Server Roles: None.
Минимальная версия ОС: Windows Server 2008, Windows Vista. Minimum OS Version: Windows Server 2008, Windows Vista.
Версии события: Event Versions:
0— Windows Server2008, Windows Vista. 0 — Windows Server 2008, Windows Vista.
1 — Windows Server 2012, Windows 8. 1 — Windows Server 2012, Windows 8.
- Добавлено поле «Уровень обезличения». Added «Impersonation Level» field.
2 — Windows 10. 2 – Windows 10.
Добавлен раздел «Logon Information:» Added «Logon Information:» section.
Тип logon перешел в раздел «Информация логотипа:». Logon Type moved to «Logon Information:» section.
Добавлено поле «Режим ограниченного администрирования». Added «Restricted Admin Mode» field.
Добавлено поле «Виртуальная учетная запись». Added «Virtual Account» field.
Добавлено поле «Повышенный маркер». Added «Elevated Token» field.
Добавлено поле «Linked Logon ID». Added «Linked Logon ID» field.
Добавлено поле «Имя учетной записи сети». Added «Network Account Name» field.
Добавлено поле «Домен учетной записи сети». Added «Network Account Domain» field.
Описания полей: Field Descriptions:
Тема: Subject:
Security ID [Type =SID]: SID учетной записи, которая сообщила сведения об успешном логотипе или вызывает его. Security ID [Type = SID]: SID of account that reported information about successful logon or invokes it. Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Event Viewer automatically tries to resolve SIDs and show the account name. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные. If the SID cannot be resolved, you will see the source data in the event.
Идентификатор безопасности (SID) — это уникальное значение переменной длины, используемое для идентификации доверяемого (доверителем безопасности). A security identifier (SID) is a unique value of variable length used to identify a trustee (security principal). Каждая учетная запись имеет уникальный идентификатор безопасности, выданный центром сертификации, таким как контроллер домена Active Directory, который хранится в базе данных безопасности. Each account has a unique SID that is issued by an authority, such as an Active Directory domain controller, and stored in a security database. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности этого пользователя из базы данных и помещает ее в маркер доступа этого пользователя. Each time a user logs on, the system retrieves the SID for that user from the database and places it in the access token for that user. Система использует идентификатор безопасности в маркере доступа для идентификации пользователя во всех последующих операциях с Безопасностью Windows. The system uses the SID in the access token to identify the user in all subsequent interactions with Windows security. Если идентификатор SID использовался как уникальный идентификатор для пользователя или группы, он не может использоваться повторно для идентификации другого пользователя или группы. When a SID has been used as the unique identifier for a user or group, it cannot ever be used again to identify another user or group. Дополнительные сведения о SID см. в разделе Идентификаторы безопасности. For more information about SIDs, see Security identifiers.
Имя учетной записи [Type = UnicodeString]: имя учетной записи, которая сообщала сведения об успешном логотипе.**** Account Name [Type = UnicodeString]: the name of the account that reported information about successful logon.
Домен учетной записи [Type**** = UnicodeString]: домен субъекта или имя компьютера. Account Domain [Type = UnicodeString]: subject’s domain or computer name. Форматы различаются и включают в себя следующее: Formats vary, and include the following:
Пример имени домена NETBIOS: CONTOSO Domain NETBIOS name example: CONTOSO
Полное имя домена в нижнем регистре: contoso.local Lowercase full domain name: contoso.local
Полное имя домена в верхнем регистре: CONTOSO.LOCAL Uppercase full domain name: CONTOSO.LOCAL
Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, значение этого поля равно «NT AUTHORITY». For some well-known security principals, such as LOCAL SERVICE or ANONYMOUS LOGON, the value of this field is «NT AUTHORITY».
Для учетных записей локальных пользователей это поле будет содержать имя компьютера или устройства, к которым принадлежит эта учетная запись, например: «Win81». For local user accounts, this field will contain the name of the computer or device that this account belongs to, for example: «Win81».
Logon ID [Type = HexInt64]: шестиугольное значение, которое может помочь вам соотнести это событие с недавними событиями, которые могут содержать один и тот же ID Logon, например,»4672(S): Специальные привилегии, назначенные новому логотипу».**** Logon ID [Type = HexInt64]: hexadecimal value that can help you correlate this event with recent events that might contain the same Logon ID, for example, «4672(S): Special privileges assigned to new logon.»
Logon Information [Version 2]: Logon Information [Version 2]:
- Тип logon [Версия 0, 1, 2] [Тип**** = UInt32]: тип логотипа, который был выполнен. Logon Type [Version 0, 1, 2] [Type = UInt32]: the type of logon which was performed. В таблице ниже приведен список возможных значений для этого поля. The table below contains the list of possible values for this field.
Типы и описания logon Logon types and descriptions
| Тип входа в систему Logon Type | Название типа входа Logon Title | Описание Description |
|---|---|---|
| 0 | System | Используется только учетной записью System, например при запуске системы. Used only by the System account, for example at system startup. |
| 2 | Interactive | Пользователь успешно вошел в систему на данном компьютере. A user logged on to this computer. |
| 3 | Network | Пользователь или компьютер вошли в систему на данном компьютере через сеть. A user or computer logged on to this computer from the network. |
| 4 | Batch | Пакетный тип входа используется пакетными серверами, исполнение процессов на которых производится по поручению пользователя, но без его прямого вмешательства. Batch logon type is used by batch servers, where processes may be executing on behalf of a user without their direct intervention. |
| 5 | Service | Служба была запущена диспетчером служб. A service was started by the Service Control Manager. |
| 7 | Unlock | Эта рабочая станция была разблокирована. This workstation was unlocked. |
| 8 | NetworkCleartext | Пользователь вошел в систему на данном компьютере через сеть. A user logged on to this computer from the network. Пароль пользователя передан в пакет проверки подлинности в нехешированной форме. The user’s password was passed to the authentication package in its unhashed form. Встроенная проверка подлинности упаковывает все хешированные учетные записи перед их отправкой через сеть. The built-in authentication packages all hash credentials before sending them across the network. Учетные данные не передаются через сеть открытым текстом. The credentials do not traverse the network in plaintext (also called cleartext). |
| 9 | NewCredentials | Инициатор вызова клонировал свой текущий маркер и указал новые учетные данные для исходящих соединений. A caller cloned its current token and specified new credentials for outbound connections. Новый сеанс входа в систему имеет то же самое локальное удостоверение, но использует другие учетные данные для других сетевых соединений. The new logon session has the same local identity, but uses different credentials for other network connections. |
| 10 | RemoteInteractive | Пользователь выполнил вход в систему на этом компьютере через службы терминалов или удаленного рабочего стола. A user logged on to this computer remotely using Terminal Services or Remote Desktop. |
| 11 | CachedInteractive | Пользователь выполнил вход в систему на этом компьютере с сетевыми учетными данными, которые хранились локально на компьютере. A user logged on to this computer with network credentials that were stored locally on the computer. Контроллер домена не использовался для проверки учетных данных. The domain controller was not contacted to verify the credentials. |
| 12 | CachedRemoteInteractive | То же, что и RemoteInteractive. Same as RemoteInteractive. Это используется для внутреннего аудита. This is used for internal auditing. |
| 13 | CachedUnlock | Логотип рабочей станции. Workstation logon. |
Режим ограниченного администрирования [Версия 2] [Type = UnicodeString]: заполнен только для сеансов типа логотипа**** RemoteInteractive. Restricted Admin Mode [Version 2] [Type = UnicodeString]: Only populated for RemoteInteractive logon type sessions. Это флаг Yes/No, указывающий, были ли предоставленные учетные данные переданы в режиме ограниченного администрирования. This is a Yes/No flag indicating if the credentials provided were passed using Restricted Admin mode. Режим ограниченного администрирования был добавлен в Win8.1/2012R2, но этот флаг был добавлен к событию в Win10. Restricted Admin mode was added in Win8.1/2012R2 but this flag was added to the event in Win10.
Если не логотип RemoteInteractive, то это будет строка «-«. If not a RemoteInteractive logon, then this will be «-» string.
Виртуальная учетная запись [Версия 2] [Type = UnicodeString]: флаг «Да» или «Нет», который указывает, является ли учетная запись виртуальной учетной записью (например,»Учетнаязапись управляемой службы»), которая была представлена в Windows 7 и Windows Server 2008 R2, чтобы предоставить возможность идентифицировать учетную запись, используемую данной службой, а не только с помощью «NetworkService».**** Virtual Account [Version 2] [Type = UnicodeString]: a «Yes» or «No» flag, which indicates if the account is a virtual account (e.g., «Managed Service Account»), which was introduced in Windows 7 and Windows Server 2008 R2 to provide the ability to identify the account that a given Service uses, instead of just using «NetworkService».
Повышенный маркер [Версия 2] [Type =**** UnicodeString]: флаг «Да» или «Нет». Elevated Token [Version 2] [Type = UnicodeString]: a «Yes» or «No» flag. Если «Да», то сеанс, который представляет это событие, повышен и имеет привилегии администратора. If «Yes», then the session this event represents is elevated and has administrator privileges.
Уровень обезличения [Версия 1, 2] [Type = UnicodeString]: может иметь одно из этих четырех значений: Impersonation Level [Version 1, 2] [Type = UnicodeString]: can have one of these four values:
SecurityAnonymous (отображается **** как пустая строка): процесс сервера не может получить идентификационные данные о клиенте и не может выдать себя за клиента. SecurityAnonymous (displayed as empty string): The server process cannot obtain identification information about the client, and it cannot impersonate the client. Он определяется без значения, заданного, и, таким образом, по правилам ANSI C, по умолчанию значение нулевое. It is defined with no value given, and thus, by ANSI C rules, defaults to a value of zero.
SecurityIdentification (отображается как «Идентификация»): процесс сервера может получать сведения о клиенте, такие как идентификаторы безопасности и привилегии, но он не может олицетворять клиента. SecurityIdentification (displayed as «Identification«): The server process can obtain information about the client, such as security identifiers and privileges, but it cannot impersonate the client. Это полезно для серверов, экспортируют собственные объекты, например продукты базы данных, экспортируют таблицы и представления. This is useful for servers that export their own objects, for example, database products that export tables and views. Используя полученные сведения о безопасности клиента, сервер может принимать решения о проверке доступа, не имея возможности использовать другие службы, использующие контекст безопасности клиента. Using the retrieved client-security information, the server can make access-validation decisions without being able to use other services that are using the client’s security context.
SecurityImpersonation (отображается как «Impersonation»): процесс сервера может выдать себя за контекст безопасности клиента в локальной системе. SecurityImpersonation (displayed as «Impersonation«): The server process can impersonate the client’s security context on its local system. Сервер не может выдать себя за клиента в удаленных системах. The server cannot impersonate the client on remote systems. Это наиболее распространенный тип. This is the most common type.
SecurityDelegation (отображается как****»Делегирование»): процесс сервера может выдать себя за контекст безопасности клиента в удаленных системах. SecurityDelegation (displayed as «Delegation«): The server process can impersonate the client’s security context on remote systems.
Новый логотип: New Logon:
Security ID [Type =SID]: SID учетной записи, для которой был выполнен логотип. Security ID [Type = SID]: SID of account for which logon was performed. Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Event Viewer automatically tries to resolve SIDs and show the account name. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные. If the SID cannot be resolved, you will see the source data in the event.
Идентификатор безопасности (SID) — это уникальное значение переменной длины, используемое для идентификации доверяемого (доверителем безопасности). A security identifier (SID) is a unique value of variable length used to identify a trustee (security principal). Каждая учетная запись имеет уникальный идентификатор безопасности, выданный центром сертификации, таким как контроллер домена Active Directory, который хранится в базе данных безопасности. Each account has a unique SID that is issued by an authority, such as an Active Directory domain controller, and stored in a security database. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности этого пользователя из базы данных и помещает ее в маркер доступа этого пользователя. Each time a user logs on, the system retrieves the SID for that user from the database and places it in the access token for that user. Система использует идентификатор безопасности в маркере доступа для идентификации пользователя во всех последующих операциях с Безопасностью Windows. The system uses the SID in the access token to identify the user in all subsequent interactions with Windows security. Если идентификатор SID использовался как уникальный идентификатор для пользователя или группы, он не может использоваться повторно для идентификации другого пользователя или группы. When a SID has been used as the unique identifier for a user or group, it cannot ever be used again to identify another user or group. Дополнительные сведения о SID см. в разделе Идентификаторы безопасности. For more information about SIDs, see Security identifiers.
Имя учетной записи [Type = UnicodeString]: имя учетной записи, для которой был выполнен логотип.**** Account Name [Type = UnicodeString]: the name of the account for which logon was performed.
Домен учетной записи [Type**** = UnicodeString]: домен субъекта или имя компьютера. Account Domain [Type = UnicodeString]: subject’s domain or computer name. Форматы различаются и включают в себя следующее: Formats vary, and include the following:
Пример имени домена NETBIOS: CONTOSO Domain NETBIOS name example: CONTOSO
Полное имя домена в нижнем регистре: contoso.local Lowercase full domain name: contoso.local
Полное имя домена в верхнем регистре: CONTOSO.LOCAL Uppercase full domain name: CONTOSO.LOCAL
Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, значение этого поля равно «NT AUTHORITY». For some well-known security principals, such as LOCAL SERVICE or ANONYMOUS LOGON, the value of this field is «NT AUTHORITY».
Для учетных записей локальных пользователей это поле будет содержать имя компьютера или устройства, к которым принадлежит эта учетная запись, например: «Win81». For local user accounts, this field will contain the name of the computer or device that this account belongs to, for example: «Win81».
Logon ID [Type = HexInt64]: шестиугольное значение, которое может помочь вам соотнести это событие с недавними событиями, которые могут содержать один и тот же ID Logon, например,»4672(S): Специальные привилегии, назначенные новому логотипу».**** Logon ID [Type = HexInt64]: hexadecimal value that can help you correlate this event with recent events that might contain the same Logon ID, for example, «4672(S): Special privileges assigned to new logon.»
Linked Logon ID [Версия 2] [Type = HexInt64]: шестиугольное значение сеанса спаривного логотипа. Linked Logon ID [Version 2] [Type = HexInt64]: A hexadecimal value of the paired logon session. Если нет другого сеанса логотипа, связанного с этим сеансом логотипа, то значение «0x0». If there is no other logon session associated with this logon session, then the value is «0x0«.
Имя учетной записи сети [Версия 2]**** [Type = UnicodeString]: имя пользователя, которое будет использоваться для исходящие (сетевые) подключения. Network Account Name [Version 2] [Type = UnicodeString]: User name that will be used for outbound (network) connections. Допустимо только для типа логотипа NewCredentials. Valid only for NewCredentials logon type.
Если не логотип NewCredentials, то это будет строка «-«. If not NewCredentials logon, then this will be a «-» string.
Домен сетевой учетной записи [Версия 2] [Type = UnicodeString]: домен для пользователя, который будет использоваться для исходящие (сетевые) подключения.**** Network Account Domain [Version 2] [Type = UnicodeString]: Domain for the user that will be used for outbound (network) connections. Допустимо только для типа логотипа NewCredentials. Valid only for NewCredentials logon type.
Если не логотип NewCredentials, то это будет строка «-«. If not NewCredentials logon, then this will be a «-» string.
GuID Logon [Type = GUID]: GUID, который может помочь вам соотнести это событие с другим событием, которое может содержать тот же GUID Logon, «4769(S, F): запрос на событие службы Kerberos на контроллере домена. Logon GUID [Type = GUID]: a GUID that can help you correlate this event with another event that can contain the same Logon GUID, «4769(S, F): A Kerberos service ticket was requested event on a domain controller.
Он также может использоваться для корреляции между событием 4624 и несколькими другими событиями (на том же компьютере), которые могут содержать тот же GUID Logon,»4648(S): была предпринята попытка использования логона с использованием явных учетных данных» и»4964(S): специальные группы были назначены новому логотипу». It also can be used for correlation between a 4624 event and several other events (on the same computer) that can contain the same Logon GUID, «4648(S): A logon was attempted using explicit credentials» and «4964(S): Special groups have been assigned to a new logon.»
Этот параметр не может быть захвачен в событии, и в этом случае отображается как <00000000-0000-0000-0000-000000000000>«. This parameter might not be captured in the event, and in that case appears as «<00000000-0000-0000-0000-000000000000>«.
GUID — это аббревиатура для «Глобально уникальный идентификатор». GUID is an acronym for ‘Globally Unique Identifier’. Это 128-битный номер, используемый для определения ресурсов, действий или экземпляров. It is a 128-bit integer number used to identify resources, activities, or instances.
Сведения о процессе: Process Information:
Process ID [Type = Pointer]: hexadecimal Process ID процесса, пытаемого логона. Process ID [Type = Pointer]: hexadecimal Process ID of the process that attempted the logon. ИД процесса (PID)— это число, которое операционная система использует для идентификации активного процесса уникальным образом. Process ID (PID) is a number used by the operating system to uniquely identify an active process. Узнать значение PID для определенного процесса можно, например, в диспетчере задач (вкладка «Подробности», столбец «ИД процесса»): To see the PID for a specific process you can, for example, use Task Manager (Details tab, PID column):
Если преобразовать шестнадцатеричное значение в десятичное, можно сравнить его со значениями в диспетчере задач. If you convert the hexadecimal value to decimal, you can compare it to the values in Task Manager.
Кроме того, можно сопоставить этот ИД процесса с ИД процесса в других событиях, например в событии «4688: создан процесс» Информация о процессе\ ИД нового процесса. You can also correlate this process ID with a process ID in other events, for example, «4688: A new process has been created» Process Information\New Process ID.
Имя процесса [Type = UnicodeString]: полный путь и имя исполняемого для процесса.**** Process Name [Type = UnicodeString]: full path and the name of the executable for the process.
Сведения о сети: Network Information:
Имя рабочей станции [Type = UnicodeString]: имя машины, с которого была выполнена попытка логотипа.**** Workstation Name [Type = UnicodeString]: machine name from which a logon attempt was performed.
Исходный сетевой адрес [Type**** = UnicodeString]: IP-адрес компьютера, с которого была выполнена попытка логотипа. Source Network Address [Type = UnicodeString]: IP address of machine from which logon attempt was performed.
Адрес IPv6 или ::ffff:IPv4 адреса клиента. IPv6 address or ::ffff:IPv4 address of a client.
::1 или 127.0.0.1 означает localhost. ::1 or 127.0.0.1 means localhost.
Исходный порт [Type = UnicodeString]: исходный порт, который использовался для попытки логотипа с удаленного компьютера. Source Port [Type = UnicodeString]: source port which was used for logon attempt from remote machine.
- 0 для интерактивных логотипов. 0 for interactive logons.
Подробные сведения о проверке подлинности: Detailed Authentication Information:
Logon Process [Type = UnicodeString]: имя доверенного процесса логотипа, который использовался для логотипа.**** Logon Process [Type = UnicodeString]: the name of the trusted logon process that was used for the logon. Дополнительные сведения см. в описании события»4611:доверенный процесс логона, зарегистрированный в локальном органе безопасности». See event «4611: A trusted logon process has been registered with the Local Security Authority» description for more information.
Пакет проверки подлинности [Type**** = UnicodeString]: имя пакета проверки подлинности, который использовался для процесса проверки подлинности с логотипом. Authentication Package [Type = UnicodeString]: The name of the authentication package which was used for the logon authentication process. Пакеты по умолчанию, загруженные на запуск LSA, расположены в ключе реестра HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig. Default packages loaded on LSA startup are located in «HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig» registry key. Другие пакеты можно загрузить во время запуска. Other packages can be loaded at runtime. При загрузке нового пакета регистрируется событие»4610:пакет проверки подлинности, загруженный местным органом безопасности» (как правило, для NTLM) или»4622:пакет безопасности был загружен местным органом безопасности» (обычно для Kerberos), чтобы указать, что новый пакет был загружен вместе с именем пакета. When a new package is loaded a «4610: An authentication package has been loaded by the Local Security Authority» (typically for NTLM) or «4622: A security package has been loaded by the Local Security Authority» (typically for Kerberos) event is logged to indicate that a new package has been loaded along with the package name. Наиболее распространенные пакеты проверки подлинности: The most common authentication packages are:
NTLM — проверка подлинности семейства NTLM NTLM – NTLM-family Authentication
Kerberos — проверка подлинности Kerberos. Kerberos – Kerberos authentication.
Согласование — пакет безопасности Negotiate выбирает между протоколами Kerberos и NTLM. Negotiate – the Negotiate security package selects between Kerberos and NTLM protocols. Согласование выбирает Kerberos, если она не может быть использована одной из систем, участвующих в проверке подлинности или вызываемого приложения не предоставили достаточно информации для использования Kerberos. Negotiate selects Kerberos unless it cannot be used by one of the systems involved in the authentication or the calling application did not provide sufficient information to use Kerberos.
Transited Services [Type = UnicodeString] [Kerberos-only]— список передаваемых служб. Transited Services [Type = UnicodeString] [Kerberos-only]: the list of transmitted services. Передаваемые службы заполняются, если логотип был результатом процесса логотипа S4U (Service For User). Transmitted services are populated if the logon was a result of a S4U (Service For User) logon process. S4U — это расширение Майкрософт до протокола Kerberos, позволяя службе приложений получать билет на службу Kerberos от имени пользователя — чаще всего это делается на интерфейсной веб-сайте для доступа к внутреннему ресурсу от имени пользователя. S4U is a Microsoft extension to the Kerberos Protocol to allow an application service to obtain a Kerberos service ticket on behalf of a user – most commonly done by a front-end website to access an internal resource on behalf of a user. Дополнительные сведения о S4U см. в For more information about S4U, see https://msdn.microsoft.com/library/cc246072.aspx
Имя пакета (только для NTLM) [Type = UnicodeString]:имя подпакета LAN Manager (имя протоколасемейства NTLM), используемого во время logon. Package Name (NTLM only) [Type = UnicodeString]: The name of the LAN Manager sub-package (NTLM-family protocol name) that was used during logon. Возможные значения: Possible values are:
«NTLM V1» «NTLM V1»
«NTLM V2» «NTLM V2»
Заполняется только в том случае, если «Пакет проверки подлинности» = «NTLM». Only populated if «Authentication Package» = «NTLM».
Длина ключа [Тип =**** UInt32]: длина ключа безопасности сеанса NTLM. Key Length [Type = UInt32]: the length of NTLM Session Security key. Обычно она имеет длину 128 или 56 бит. Typically it has 128 bit or 56 bit length. Этот параметр всегда 0, если «Пакет проверкиподлинности» = «Kerberos», так как он не применим к протоколу Kerberos. This parameter is always 0 if «Authentication Package» = «Kerberos», because it is not applicable for Kerberos protocol. Это поле также будет иметь значение «0», если kerberos был согласован с помощью пакета проверки подлинности Negotiate. This field will also have «0» value if Kerberos was negotiated using Negotiate authentication package.
Рекомендации по контролю безопасности Security Monitoring Recommendations
Для 4624 (S): учетная запись успешно вошел в систему. For 4624(S): An account was successfully logged on.
| Тип требуемого мониторинга Type of monitoring required | Рекомендации Recommendation |
|---|---|
| Учетные записи большой ценности: у вас может быть домен или локальные учетные записи большой ценности, для которых необходимо отслеживать каждое действие. High-value accounts: You might have high-value domain or local accounts for which you need to monitor each action. Примеры учетных записей большой ценности: учетные записи администраторов баз данных, встроенная учетная запись локального администратора, учетные записи администраторов домена, учетные записи служб, учетные записи контроллеров домена и т.д. Examples of high-value accounts are database administrators, built-in local administrator account, domain administrators, service accounts, domain controller accounts and so on. | Отслеживайте это событие с помощью «New Logon\Security ID», соответствующего учетной записи или учетной записи с высокой стоимостью. Monitor this event with the «New Logon\Security ID» that corresponds to the high-value account or accounts. |
| Аномалии и вредоносные действия: у вас могут быть особые требования касательно обнаружения аномалий или отслеживания потенциально вредоносных действий. Anomalies or malicious actions: You might have specific requirements for detecting anomalies or monitoring potential malicious actions. Например, вам может потребоваться отслеживать использование учетной записи во внерабочее время. For example, you might need to monitor for use of an account outside of working hours. | При отслеживании аномалий или вредоносных действий используйте «New Logon\Security ID» (с другими сведениями), чтобы отслеживать, как или когда используется определенная учетная запись. When you monitor for anomalies or malicious actions, use the «New Logon\Security ID» (with other information) to monitor how or when a particular account is being used. |
| Неактивные учетные записи: у вас, возможно, есть неактивные, отключенные или гостевые учетные записи, а также другие учетные записи, которые не должны использоваться. Non-active accounts: You might have non-active, disabled, or guest accounts, or other accounts that should never be used. | Отслеживайте это событие с помощью «New Logon\Security ID», который соответствует учетным записям, которые никогда не следует использовать. Monitor this event with the «New Logon\Security ID» that corresponds to the accounts that should never be used. |
| Список разрешенных учетных записей: у вас, возможно, есть список разрешенных учетных записей, которым разрешено выполнять действия, соответствующие определенным событиям. Account whitelist: You might have a specific allow list of accounts that are the only ones allowed to perform actions corresponding to particular events. | Если это событие соответствует действию «разрешить только список», просмотрите «New Logon\Security ID» для учетных записей, которые находятся за пределами списка допуска. If this event corresponds to a «allow list-only» action, review the «New Logon\Security ID» for accounts that are outside the allow list. |
| Учетные записи различных типов: вам может потребоваться, чтобы определенные действия выполнялись только учетными записями определенных типов, например локальными учетными записями или учетными записями домена, учетными записями компьютеров или пользователей, учетными записями поставщиков или сотрудников и т.д. Accounts of different types: You might want to ensure that certain actions are performed only by certain account types, for example, local or domain account, machine or user account, vendor or employee account, and so on. | Если это событие соответствует действию, которое необходимо отслеживать для определенных типов учетных записей, просмотрите «New Logon\Security ID», чтобы узнать, является ли тип учетной записи ожидаемым. If this event corresponds to an action you want to monitor for certain account types, review the «New Logon\Security ID» to see whether the account type is as expected. |
| Внешние учетные записи: вам может потребоваться отслеживать учетные записи из другого домена или «внешние» учетные записи, которым не разрешено выполнять определенные действия (представленные определенными событиями). External accounts: You might be monitoring accounts from another domain, or «external» accounts that are not allowed to perform certain actions (represented by certain specific events). | Отслеживайте это событие для «Subject\Account Domain», соответствующего учетным записям из другого домена или «внешних» учетных записей. Monitor this event for the «Subject\Account Domain» corresponding to accounts from another domain or «external» accounts. |
| Ограничение использования компьютеров или устройств: у вас могут быть определенные компьютеры или устройства, на которых определенные люди (учетные записи) обычно не должны выполнять никаких действий. Restricted-use computers or devices: You might have certain computers, machines, or devices on which certain people (accounts) should not typically perform any actions. | Мониторинг целевого компьютера: (или другого целевого устройства) для действий, выполняемых «New Logon\Security ID», которые вас беспокоят. Monitor the target Computer: (or other target device) for actions performed by the «New Logon\Security ID» that you are concerned about. |
| Соглашения об именовании учетных записей: в вашей организации могут быть определенные соглашения об именовании учетных записей. Account naming conventions: Your organization might have specific naming conventions for account names. | Отслеживайте «Subject\Account Name» для имен, не соответствующих конвенциям имен. Monitor «Subject\Account Name» for names that don’t comply with naming conventions. |
Поскольку это событие обычно запускается учетной записью SYSTEM, рекомендуется сообщать об этом, когда «Subject\Security ID» не является SYSTEM. Because this event is typically triggered by the SYSTEM account, we recommend that you report it whenever «Subject\Security ID» is not SYSTEM.
Если режим «Ограниченный администратор» должен использоваться для логотипов определенных учетных записей, используйте это событие для мониторинга логотипов по «New Logon\Security ID» по отношению к «Logon****Type«=10» и «Restricted Admin Mode«=»Yes». If «Restricted Admin» mode must be used for logons by certain accounts, use this event to monitor logons by «New Logon\Security ID» in relation to «Logon Type«=10 and «Restricted Admin Mode«=»Yes». Если дляэтих учетных записейиспользуется режим ограниченного администрирования «=»Нет», срабатывает оповещение. If «Restricted Admin Mode«=»No» for these accounts, trigger an alert.
Если необходимо отслеживать все события с логотипом для учетных записей с привилегиями администратора, отслеживайте это событие с помощью «Elevated Token«=»Yes». If you need to monitor all logon events for accounts with administrator privileges, monitor this event with «Elevated Token«=»Yes».
Если необходимо отслеживать все события с логотипом для управляемых учетных записей служб и учетных записей управляемых служб группы, отслеживайте события с помощью «Виртуальнаяучетная запись «=»Да». If you need to monitor all logon events for managed service accounts and group managed service accounts, monitor for events with «Virtual Account«=»Yes».
Чтобы отслеживать несоответствие между типом логотипа и используемой учетной записью (например, если тип Logon 4-Batch или 5-Service используется членом административной группы домена), в этом событии отслеживайте тип Logon Type. To monitor for a mismatch between the logon type and the account that uses it (for example, if Logon Type 4-Batch or 5-Service is used by a member of a domain administrative group), monitor Logon Type in this event.
Если ваша организация ограничивает логотипы следующими способами, вы можете использовать это событие для мониторинга соответствующим образом: If your organization restricts logons in the following ways, you can use this event to monitor accordingly:
Если учетная запись пользователя «New Logon\Security ID» никогда не должна использоваться для входа с определенного компьютера:. If the user account «New Logon\Security ID» should never be used to log on from the specific Computer:.
Если учетные данные New Logon\Security ID не следует использовать из названия рабочих станций или источника сетевого адреса. If New Logon\Security ID credentials should not be used from Workstation Name or Source Network Address.
Если определенная учетная запись, например учетная запись службы, должна использоваться только из внутреннего списка IP-адресов (или другого списка IP-адресов). If a specific account, such as a service account, should only be used from your internal IP address list (or some other list of IP addresses). В этом случае можно отслеживать сетевой сетевой адрес и сравнивать сетевой адрес со списком IP-адресов. In this case, you can monitor for Network Information\Source Network Address and compare the network address with your list of IP addresses.
Если в организации всегда используется определенная версия NTLM. If a particular version of NTLM is always used in your organization. В этом случае вы можете использовать это событие для мониторинга имени пакета (только для NTLM), например для поиска событий, в которых только имя пакета (только NTLM) не равно NTLM V2. In this case, you can use this event to monitor Package Name (NTLM only), for example, to find events where Package Name (NTLM only) does not equal NTLM V2.
Если NTLM не используется в организации или не должна использоваться определенной учетной записью (New Logon\Security ID). If NTLM is not used in your organization, or should not be used by a specific account (New Logon\Security ID). В этом случае отслеживайте все события, в которых пакет проверки подлинности является NTLM. In this case, monitor for all events where Authentication Package is NTLM.
Если пакет проверки подлинности — это NTLM. If the Authentication Package is NTLM. В этом случае монитор для длины ключей не равен 128, так как все операционные системы Windows, начиная с Windows 2000, поддерживают 128-битную длину ключей. In this case, monitor for Key Length not equal to 128, because all Windows operating systems starting with Windows 2000 support 128-bit Key Length.
Если вы отслеживает потенциально вредоносное программное обеспечение или программное обеспечение, не уполномоченное запрашивать действия с логотипом, отслеживайте это событие для Process Name. If you monitor for potentially malicious software, or software that is not authorized to request logon actions, monitor this event for Process Name.
Если у вас есть список доверенных процессов логона, отслеживайте процесс Logon, который не из списка. If you have a trusted logon processes list, monitor for a Logon Process that is not from the list.
