Аудит событий входа в систему Audit account logon events
Область применения Applies to
Определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из него с другого устройства, на котором это устройство используется для проверки учетной записи. Determines whether to audit each instance of a user logging on to or logging off from another device in which this device is used to validate the account.
Этот параметр безопасности определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из него с другого компьютера, на котором этот компьютер используется для проверки учетной записи. This security setting determines whether to audit each instance of a user logging on to or logging off from another computer in which this computer is used to validate the account. События для регистрации учетной записи создаются при проверке подлинности учетной записи пользователя домена на контроллере домена. Account logon events are generated when a domain user account is authenticated on a domain controller. Событие регистрируется в журнале безопасности контроллера домена. The event is logged in the domain controller’s security log. События для локалки создаются при проверке подлинности локального пользователя на локальном компьютере. Logon events are generated when a local user is authenticated on a local computer. Событие регистрируется в локальном журнале безопасности. The event is logged in the local security log. События выйдите из учетной записи не создаются. Account logoff events are not generated.
Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа в учетную запись. Success audits generate an audit entry when an account logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа в учетную запись. Failure audits generate an audit entry when an account logon attempt fails. Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.
По умолчанию: успех Default: Success
Настройка этого параметра аудита Configure this audit setting
Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
Аудит входа в систему Audit Logon
Область применения Applies to
- Windows 10 Windows 10
- Windows Server 2016 Windows Server 2016
Аудит входа определяет, генерирует ли операционная система события аудита при попытке пользователя войти на компьютер. Audit Logon determines whether the operating system generates audit events when a user attempts to log on to a computer.
Эти события связаны с созданием сеансов входов и происходят на компьютере, к нему был доступ. These events are related to the creation of logon sessions and occur on the computer that was accessed. Для интерактивного входа события создаются на компьютере, на который был внесен вход. For an interactive logon, events are generated on the computer that was logged on to. При входе в сеть, например при доступе к ресурсу, события создаются на компьютере, на котором размещен ресурс, к нему был доступ. For a network logon, such as accessing a share, events are generated on the computer that hosts the resource that was accessed.
Записываются следующие события: The following events are recorded:
Успешное и неудачное влияние в системы. Logon success and failure.
Попытки входа с использованием явных учетных данных. Logon attempts by using explicit credentials. Это событие создается, когда процесс пытается войти в учетную запись, явно указав учетные данные этой учетной записи. This event is generated when a process attempts to log on an account by explicitly specifying that account’s credentials. Это чаще всего происходит в пакетных конфигурациях, таких как запланированные задачи, или при использовании команды RunAs. This most commonly occurs in batch configurations such as scheduled tasks, or when using the RunAs command.
Идентификаторы безопасности фильтруются. Security identifiers (SIDs) are filtered.
События для работы с клиентами необходимы для отслеживания активности пользователей и обнаружения потенциальных атак. Logon events are essential to tracking user activity and detecting potential attacks.
Том события: Event volume:
Мало на клиентских компьютерах. Low on a client computer.
Средний на контроллерах домена или сетевых серверах. Medium on a domain controllers or network servers.
| Тип компьютера Computer Type | Общий успех General Success | Общий сбой General Failure | Более успешный успех Stronger Success | Более сильное сбой Stronger Failure | Комментарии Comments |
|---|---|---|---|---|---|
| Контроллер домена Domain Controller | Да Yes | Да Yes | Да Yes | Да Yes | Аудит событий входа, например, даст вам сведения о том, какая учетная запись, когда, с помощью какой тип входа, с которого компьютер вошел в систему на этом компьютере. Audit Logon events, for example, will give you information about which account, when, using which Logon Type, from which machine logged on to this machine. В событиях сбоя будут демонстрироваться неудачные попытки и причины неудачных попыток. Failure events will show you failed logon attempts and the reason why these attempts failed. |
| Сервер-член Member Server | Да Yes | Да Yes | Да Yes | Да Yes | Аудит событий входа, например, даст вам сведения о том, какая учетная запись, когда, с помощью какой тип входа, с которого компьютер вошел в систему на этом компьютере. Audit Logon events, for example, will give you information about which account, when, using which Logon Type, from which machine logged on to this machine. В событиях сбоя будут демонстрироваться неудачные попытки и причины неудачных попыток. Failure events will show you failed logon attempts and the reason why these attempts failed. |
| Workstation Workstation | Да Yes | Да Yes | Да Yes | Да Yes | Аудит событий входа, например, даст вам сведения о том, какая учетная запись, когда, с помощью какой тип входа, с которого компьютер вошел в систему на этом компьютере. Audit Logon events, for example, will give you information about which account, when, using which Logon Type, from which machine logged on to this machine. В событиях сбоя будут демонстрироваться неудачные попытки и причины неудачных попыток. Failure events will show you failed logon attempts and the reason why these attempts failed. |
Список событий: Events List:
4624(S): учетная запись успешно вошел в систему. 4624(S): An account was successfully logged on.
4625(F): учетной записи не удалось войти в систему. 4625(F): An account failed to log on.
4648(S): попытка входа с использованием явных учетных данных. 4648(S): A logon was attempted using explicit credentials.
4675(S): фильтруются ИД безопасности. 4675(S): SIDs were filtered.
Аудит специального входа Audit Special Logon
Относится к: Applies to
- Windows 10; Windows 10
- Windows Server 2016 Windows Server 2016
Специальный логос аудита определяет, создает ли операционная система события аудита при специальных обстоятельствах входа (или входа). Audit Special Logon determines whether the operating system generates audit events under special sign on (or log on) circumstances.
Эта подкатегория позволяет проверять события, созданные специальными логотипами, такими как следующие: This subcategory allows you to audit events generated by special logons such as the following:
Использование специального логотипа, который является логотипом, который имеет привилегии, эквивалентные администратору, и может использоваться для повышения уровня процесса. The use of a special logon, which is a logon that has administrator-equivalent privileges and can be used to elevate a process to a higher level.
Логотип участника специальной группы. A logon by a member of a Special Group. Специальные группы позволяют проверять события, созданные при входе члена определенной группы в сеть. Special Groups enable you to audit events generated when a member of a certain group has logged on to your network. В реестре можно настроить список идентификаторов групповой безопасности (SID). You can configure a list of group security identifiers (SIDs) in the registry. Если какой-либо из этих СИД добавляется в маркер во время логотипа и включена подкатегория, событие регистрируется. If any of those SIDs are added to a token during logon and the subcategory is enabled, an event is logged.
Том события: Event volume:
Низкий уровень клиентского компьютера. Low on a client computer.
Medium на контроллерах домена или сетевых серверах. Medium on a domain controllers or network servers.
| Тип компьютера Computer Type | Общий успех General Success | Общий сбой General Failure | Более сильный успех Stronger Success | Более сильный сбой Stronger Failure | Комментарии Comments |
|---|---|---|---|---|---|
| Контроллер домена Domain Controller | Да Yes | Нет No | Да Yes | Нет No | Эта подкатегория очень важна из-за событий, связанных с специальными группами, вы должны включить эту подкатегорию для аудита успеха, если вы используете эту функцию. This subcategory is very important because of Special Groups related events, you must enable this subcategory for Success audit if you use this feature. В то же время эта подкатегория позволяет отслеживать сеансы логоса учетных записей, которым были назначены конфиденциальные привилегии. At the same time this subcategory allows you to track account logon sessions to which sensitive privileges were assigned. В этой подкатегории нет событий сбоя, поэтому нет рекомендации включить аудит отказа для этой подкатегории. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory. |
| Сервер участника Member Server | Да Yes | Нет No | Да Yes | Нет No | Эта подкатегория очень важна из-за событий, связанных с специальными группами, вы должны включить эту подкатегорию для аудита успеха, если вы используете эту функцию. This subcategory is very important because of Special Groups related events, you must enable this subcategory for Success audit if you use this feature. В то же время эта подкатегория позволяет отслеживать сеансы логоса учетных записей, которым были назначены конфиденциальные привилегии. At the same time this subcategory allows you to track account logon sessions to which sensitive privileges were assigned. В этой подкатегории нет событий сбоя, поэтому нет рекомендации включить аудит отказа для этой подкатегории. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory. |
| Workstation Workstation | Да Yes | Нет No | Да Yes | Нет No | Эта подкатегория очень важна из-за событий, связанных с специальными группами, вы должны включить эту подкатегорию для аудита успеха, если вы используете эту функцию. This subcategory is very important because of Special Groups related events, you must enable this subcategory for Success audit if you use this feature. В то же время эта подкатегория позволяет отслеживать сеансы логоса учетных записей, которым были назначены конфиденциальные привилегии. At the same time this subcategory allows you to track account logon sessions to which sensitive privileges were assigned. В этой подкатегории нет событий сбоя, поэтому нет рекомендации включить аудит отказа для этой подкатегории. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory. |
Список событий: Events List:
4964(S): Для нового логотипа назначены специальные группы. 4964(S): Special groups have been assigned to a new logon.
4672(S): Специальные привилегии, присвоенные новому логотипу. 4672(S): Special privileges assigned to new logon.
Audit Logon
Applies to
- Windows 10
- Windows Server 2016
Audit Logon determines whether the operating system generates audit events when a user attempts to log on to a computer.
These events are related to the creation of logon sessions and occur on the computer that was accessed. For an interactive logon, events are generated on the computer that was logged on to. For a network logon, such as accessing a share, events are generated on the computer that hosts the resource that was accessed.
The following events are recorded:
Logon success and failure.
Logon attempts by using explicit credentials. This event is generated when a process attempts to log on an account by explicitly specifying that account’s credentials. This most commonly occurs in batch configurations such as scheduled tasks, or when using the RunAs command.
Security identifiers (SIDs) are filtered.
Logon events are essential to tracking user activity and detecting potential attacks.
Event volume:
Low on a client computer.
Medium on a domain controllers or network servers.
| Computer Type | General Success | General Failure | Stronger Success | Stronger Failure | Comments |
|---|---|---|---|---|---|
| Domain Controller | Yes | Yes | Yes | Yes | Audit Logon events, for example, will give you information about which account, when, using which Logon Type, from which machine logged on to this machine. Failure events will show you failed logon attempts and the reason why these attempts failed. |
| Member Server | Yes | Yes | Yes | Yes | Audit Logon events, for example, will give you information about which account, when, using which Logon Type, from which machine logged on to this machine. Failure events will show you failed logon attempts and the reason why these attempts failed. |
| Workstation | Yes | Yes | Yes | Yes | Audit Logon events, for example, will give you information about which account, when, using which Logon Type, from which machine logged on to this machine. Failure events will show you failed logon attempts and the reason why these attempts failed. |
Events List:
4624(S): An account was successfully logged on.
4625(F): An account failed to log on.
4648(S): A logon was attempted using explicit credentials.
