Аудит управления учетными записями компьютеров Audit Computer Account Management
Область применения Applies to
- Windows 10 Windows 10
- Windows Server 2016 Windows Server 2016
Аудит управления учетными записями компьютеров определяет, генерирует ли операционная система события аудита при создание, смене или удалении учетной записи компьютера. Audit Computer Account Management determines whether the operating system generates audit events when a computer account is created, changed, or deleted.
Этот параметр политики полезен для отслеживания связанных с учетной записью изменений компьютеров, которые являются членами домена. This policy setting is useful for tracking account-related changes to computers that are members of a domain.
Объем события: низкий уровень на контроллерах домена. Event volume: Low on domain controllers.
Эта подкатегория позволяет проверять события, созданные изменениями в учетных записях компьютеров, например при их создания, изменениях или удалении. This subcategory allows you to audit events generated by changes to computer accounts such as when a computer account is created, changed, or deleted.
| Тип компьютера Computer Type | Общий успех General Success | Общий сбой General Failure | Более успешный успех Stronger Success | Более сильное сбой Stronger Failure | Комментарии Comments |
|---|---|---|---|---|---|
| Контроллер домена Domain Controller | Да Yes | Нет No | Да Yes | Нет No | Рекомендуется следить за изменениями критически важных объектов компьютера в Active Directory, таких как контроллеры домена, административные рабочие станции и критически важные серверы. We recommend monitoring changes to critical computer objects in Active Directory, such as domain controllers, administrative workstations, and critical servers. Особенно важно знать, удаляются ли какие-либо критически важные объекты учетной записи компьютера. It’s especially important to be informed if any critical computer account objects are deleted. Кроме того, события в этой подкатегории дают вам сведения о том, кто удалил, создал или изменил объект компьютера, а также время действия. Additionally, events in this subcategory will give you information about who deleted, created, or modified a computer object, and when the action was taken. Как правило, таких событий мало на контроллерах домена. Typically volume of these events is low on domain controllers. В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory. |
| Сервер-член Member Server | Нет No | Нет No | Нет No | Нет No | Эта подкатегория создает события только на контроллерах домена. This subcategory generates events only on domain controllers. |
| Workstation Workstation | Нет No | Нет No | Нет No | Нет No | Эта подкатегория создает события только на контроллерах домена. This subcategory generates events only on domain controllers. |
Список событий: Events List:
4741(S): создана учетная запись компьютера. 4741(S): A computer account was created.
4742(S): учетная запись компьютера была изменена. 4742(S): A computer account was changed.
4743(S): учетная запись компьютера удалена. 4743(S): A computer account was deleted.
Аудит управления учетными записями пользователей Audit User Account Management
Область применения Applies to
- Windows 10 Windows 10
- Windows Server 2016 Windows Server 2016
Аудит управления учетными записями пользователей определяет, создает ли операционная система события аудита при выполнении определенных задач управления учетными записями пользователей. Audit User Account Management determines whether the operating system generates audit events when specific user account management tasks are performed.
Объем события: низкий. Event volume: Low.
Этот параметр политики позволяет проверять изменения учетных записей пользователей. This policy setting allows you to audit changes to user accounts. События включают следующее: Events include the following:
Учетная запись пользователя создается, меняется, удаляется, переименовываются, отключаются, включены, заблокированы или разблокированы. A user account is created, changed, deleted, renamed, disabled, enabled, locked out or unlocked.
Пароль учетной записи пользователя за установлен или изменен. A user account’s password is set or changed.
Идентификатор безопасности (SID) добавляется в историю SID учетной записи пользователя или не добавляется. A security identifier (SID) is added to the SID History of a user account, or fails to be added.
Пароль режима восстановления служб каталогов настроен. The Directory Services Restore Mode password is configured.
Разрешения для учетных записей администраторов изменены. Permissions on administrative user accounts are changed.
Было енотализовано членство пользователя в локальной группе. A user’s local group membership was enumerated.
Учетные данные диспетчера учетных данных восстанавливаются или восстанавливаются. Credential Manager credentials are backed up or restored.
Некоторые события в этой подкатегории, например 4722, 4725, 4724 и 4781, также создаются для учетных записей компьютеров. Some events in this subcategory, for example 4722, 4725, 4724, and 4781, are also generated for computer accounts.
| Тип компьютера Computer Type | Общий успех General Success | Общий сбой General Failure | Более успешный успех Stronger Success | Более сильное сбой Stronger Failure | Комментарии Comments |
|---|---|---|---|---|---|
| Контроллер домена Domain Controller | Да Yes | Да Yes | Да Yes | Да Yes | Эта подкатегория содержит множество полезных событий для мониторинга, особенно для критически важных учетных записей домена, таких как администраторы домена, учетные записи служб, администраторы баз данных и так далее. This subcategory contains many useful events for monitoring, especially for critical domain accounts, such as domain admins, service accounts, database admins, and so on. Мы рекомендуем проводить аудит сбоев, в основном, чтобы увидеть недопустимые попытки смены и сброса пароля для учетных записей домена, ошибки смены пароля учетной записи DSRM и неудачные попытки добавления sid History. We recommend Failure auditing, mostly to see invalid password change and reset attempts for domain accounts, DSRM account password change failures, and failed SID History add attempts. |
| Сервер-член Member Server | Да Yes | Да Yes | Да Yes | Да Yes | Рекомендуется следить за всеми изменениями, связанными с локальными учетными записями пользователей, особенно встроенными локальными администраторами и другими критически важными учетными записями. We recommend monitoring all changes related to local user accounts, especially built-in local Administrator and other critical accounts. Мы рекомендуем проводить аудит сбоев, в основном, чтобы увидеть недопустимые попытки смены пароля и сброса для локальных учетных записей. We recommend Failure auditing, mostly to see invalid password change and reset attempts for local accounts. |
| Workstation Workstation | Да Yes | Да Yes | Да Yes | Да Yes | Рекомендуется следить за всеми изменениями, связанными с локальными учетными записями пользователей, особенно встроенными локальными администраторами и другими критически важными учетными записями. We recommend monitoring all changes related to local user accounts, especially built-in local Administrator and other critical accounts. Мы рекомендуем проводить аудит сбоев, в основном, чтобы увидеть недопустимые попытки смены пароля и сброса для локальных учетных записей. We recommend Failure auditing, mostly to see invalid password change and reset attempts for local accounts. |
Список событий: Events List:
4720(S): создана учетная запись пользователя. 4720(S): A user account was created.
4722(S): учетная запись пользователя включена. 4722(S): A user account was enabled.
4723(S, F): предпринята попытка изменить пароль учетной записи. 4723(S, F): An attempt was made to change an account’s password.
4724(S, F): предпринята попытка сбросить пароль учетной записи. 4724(S, F): An attempt was made to reset an account’s password.
4725(S): учетная запись пользователя отключена. 4725(S): A user account was disabled.
4726(S): учетная запись пользователя удалена. 4726(S): A user account was deleted.
4738(S): учетная запись пользователя была изменена. 4738(S): A user account was changed.
4740(S): учетная запись пользователя заблокирована. 4740(S): A user account was locked out.
4765(S): в учетную запись добавлена история SID. 4765(S): SID History was added to an account.
4766(F): не удалось добавить историю SID в учетную запись. 4766(F): An attempt to add SID History to an account failed.
4767(S): учетная запись пользователя разблокирована. 4767(S): A user account was unlocked.
4780(S): ACL был установлен для учетных записей, которые являются членами групп администраторов. 4780(S): The ACL was set on accounts which are members of administrators groups.
4781(S): имя учетной записи было изменено. 4781(S): The name of an account was changed.
4794(S, F): предпринята попытка установить пароль администратора режима восстановления служб каталогов. 4794(S, F): An attempt was made to set the Directory Services Restore Mode administrator password.
4798(S): было енотализовано членство пользователя в локальной группе. 4798(S): A user’s local group membership was enumerated.
5376(S): для учетных данных диспетчера учетных данных было сдек. 5376(S): Credential Manager credentials were backed up.
5377(S): учетные данные диспетчера учетных данных восстановлены из резервной копии. 5377(S): Credential Manager credentials were restored from a backup.
Аудит управления учетными записями в Windows Server 2008 R2
Она позволяет вести наблюдение за активностью, связанной с учетными записями пользователей, по событиям: по созданию, изменению, переименованию, включению/отключению и удалению объектов, по сменам паролей, по изменению разрешений и так далее.
Настройки этой политики находятся в разделе «Конфигурация компьютера | Конфигурация Windows | Расширенные параметры политики аудита | Управление учетными записями» (Computer Configuration | Windows Settings | Advanced Audit Policy Configuration | Account Management | User Account Management) (рис. A).
После включения этой конфигурации, все актуальные события будут регистрироваться в журнале безопасности Windows (Windows Security log) для соответствующих объектов учетных записей.
Вот простой пример использования этой политики. На тестовом сервере я совершил два действия, которые расцениваются как события для аудита: создал гостевую учетную запись и изменил для нее пароль. Эти события тут же были зарегистрированы в журнале безопасности. В частности, на рис. B показана регистрация смены пароля.
Настройками этой политики аудита можно управлять централизованно с помощью групповой политики. Кроме того, можно настроить перенаправление событий. Политика аудита особенно удобна для наблюдения за изменениями определенных учетных записей.
Audit User Account Management
Applies to
- Windows 10
- Windows Server 2016
Audit User Account Management determines whether the operating system generates audit events when specific user account management tasks are performed.
Event volume: Low.
This policy setting allows you to audit changes to user accounts. Events include the following:
A user account is created, changed, deleted, renamed, disabled, enabled, locked out or unlocked.
A user account’s password is set or changed.
A security identifier (SID) is added to the SID History of a user account, or fails to be added.
The Directory Services Restore Mode password is configured.
Permissions on administrative user accounts are changed.
A user’s local group membership was enumerated.
Credential Manager credentials are backed up or restored.
Some events in this subcategory, for example 4722, 4725, 4724, and 4781, are also generated for computer accounts.
| Computer Type | General Success | General Failure | Stronger Success | Stronger Failure | Comments |
|---|---|---|---|---|---|
| Domain Controller | Yes | Yes | Yes | Yes | This subcategory contains many useful events for monitoring, especially for critical domain accounts, such as domain admins, service accounts, database admins, and so on. We recommend Failure auditing, mostly to see invalid password change and reset attempts for domain accounts, DSRM account password change failures, and failed SID History add attempts. |
| Member Server | Yes | Yes | Yes | Yes | We recommend monitoring all changes related to local user accounts, especially built-in local Administrator and other critical accounts. We recommend Failure auditing, mostly to see invalid password change and reset attempts for local accounts. |
| Workstation | Yes | Yes | Yes | Yes | We recommend monitoring all changes related to local user accounts, especially built-in local Administrator and other critical accounts. We recommend Failure auditing, mostly to see invalid password change and reset attempts for local accounts. |
Events List:
4720(S): A user account was created.
4722(S): A user account was enabled.
4723(S, F): An attempt was made to change an account’s password.
4724(S, F): An attempt was made to reset an account’s password.
4725(S): A user account was disabled.
4726(S): A user account was deleted.
4738(S): A user account was changed.
4740(S): A user account was locked out.
4765(S): SID History was added to an account.
4766(F): An attempt to add SID History to an account failed.
4767(S): A user account was unlocked.
4780(S): The ACL was set on accounts which are members of administrators groups.
4781(S): The name of an account was changed.
4794(S, F): An attempt was made to set the Directory Services Restore Mode administrator password.
4798(S): A user’s local group membership was enumerated.
5376(S): Credential Manager credentials were backed up.
5377(S): Credential Manager credentials were restored from a backup.
