- Аудит других событий управления учетными записями Audit Other Account Management Events
- Аудит событий входа в систему Audit account logon events
- Настройка этого параметра аудита Configure this audit setting
- Аудит управления учетными записями компьютеров Audit Computer Account Management
- Аудит проверки учетных данных Audit Credential Validation
Аудит других событий управления учетными записями Audit Other Account Management Events
Область применения Applies to
- Windows 10 Windows 10
- Windows Server 2016 Windows Server 2016
Аудит других событий управления учетными записями определяет, генерирует ли операционная система события аудита управления учетными записями пользователей. Audit Other Account Management Events determines whether the operating system generates user account management audit events.
Том события: Как правило, мало на всех типах компьютеров. Event volume: Typically Low on all types of computers.
Эта подкатегория позволяет проводить аудит следующих событий: This subcategory allows you to audit next events:
Был доступ к hash-коду пароля учетной записи пользователя. The password hash of a user account was accessed. Это происходит во время переноса пароля средства управления Active Directory. This happens during an Active Directory Management Tool password migration.
Был вызван API проверки политики паролей. The Password Policy Checking API was called. API проверки политики паролей позволяет приложению проверять соответствие пароля базе данных учетных записей, предоставленным приложением, или отдельной учетной записи, и проверять, соответствуют ли пароли требованиям политики повторного использования паролей сложности, возраста, минимальной длины и истории. Password Policy Checking API allows an application to check password compliance against an application-provided account database or single account and verify that passwords meet the complexity, aging, minimum length, and history reuse requirements of a password policy.
| Тип компьютера Computer Type | Общий успех General Success | Общий сбой General Failure | Более успешный успех Stronger Success | Более сильное сбой Stronger Failure | Комментарии Comments |
|---|---|---|---|---|---|
| Контроллер домена Domain Controller | Да Yes | Нет No | Да Yes | Нет No | Единственная причина включить аудит успешности на контроллерах домена — отслеживать»4782(S): доступ к hash-коду пароля учетной записи». The only reason to enable Success auditing on domain controllers is to monitor “4782(S): The password hash of an account was accessed.” В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory. |
| Сервер-член Member Server | Нет No | Нет No | Нет No | Нет No | Единственное событие, которое создается на рядовых серверах, —»4793(S): был вызван API проверки политики паролей». Это событие является типичным информационным событием с практически отсутствием релевантности для системы безопасности. The only event which is generated on Member Servers is “4793(S): The Password Policy Checking API was called.”, this event is a typical information event with little to no security relevance. В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory. |
| Workstation Workstation | Нет No | Нет No | Нет No | Нет No | Единственное событие, которое создается на рабочих станциях, —»4793(S): вызван API проверки политики паролей». Это событие является типичным информационным событием с практически отсутствием релевантности для системы безопасности. The only event which is generated on Workstations is “4793(S): The Password Policy Checking API was called.”, this event is a typical information event with little to no security relevance. В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory. |
Список событий: Events List:
4782(S): доступ к hash-коду пароля учетной записи. 4782(S): The password hash of an account was accessed.
4793(S): был вызван API проверки политики паролей. 4793(S): The Password Policy Checking API was called.
Аудит событий входа в систему Audit account logon events
Область применения Applies to
Определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из него с другого устройства, на котором это устройство используется для проверки учетной записи. Determines whether to audit each instance of a user logging on to or logging off from another device in which this device is used to validate the account.
Этот параметр безопасности определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из него с другого компьютера, на котором этот компьютер используется для проверки учетной записи. This security setting determines whether to audit each instance of a user logging on to or logging off from another computer in which this computer is used to validate the account. События для регистрации учетной записи создаются при проверке подлинности учетной записи пользователя домена на контроллере домена. Account logon events are generated when a domain user account is authenticated on a domain controller. Событие регистрируется в журнале безопасности контроллера домена. The event is logged in the domain controller’s security log. События для локалки создаются при проверке подлинности локального пользователя на локальном компьютере. Logon events are generated when a local user is authenticated on a local computer. Событие регистрируется в локальном журнале безопасности. The event is logged in the local security log. События выйдите из учетной записи не создаются. Account logoff events are not generated.
Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа в учетную запись. Success audits generate an audit entry when an account logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа в учетную запись. Failure audits generate an audit entry when an account logon attempt fails. Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.
По умолчанию: успех Default: Success
Настройка этого параметра аудита Configure this audit setting
Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
Аудит управления учетными записями компьютеров Audit Computer Account Management
Область применения Applies to
- Windows 10 Windows 10
- Windows Server 2016 Windows Server 2016
Аудит управления учетными записями компьютеров определяет, генерирует ли операционная система события аудита при создание, смене или удалении учетной записи компьютера. Audit Computer Account Management determines whether the operating system generates audit events when a computer account is created, changed, or deleted.
Этот параметр политики полезен для отслеживания связанных с учетной записью изменений компьютеров, которые являются членами домена. This policy setting is useful for tracking account-related changes to computers that are members of a domain.
Объем события: низкий уровень на контроллерах домена. Event volume: Low on domain controllers.
Эта подкатегория позволяет проверять события, созданные изменениями в учетных записях компьютеров, например при их создания, изменениях или удалении. This subcategory allows you to audit events generated by changes to computer accounts such as when a computer account is created, changed, or deleted.
| Тип компьютера Computer Type | Общий успех General Success | Общий сбой General Failure | Более успешный успех Stronger Success | Более сильное сбой Stronger Failure | Комментарии Comments |
|---|---|---|---|---|---|
| Контроллер домена Domain Controller | Да Yes | Нет No | Да Yes | Нет No | Рекомендуется следить за изменениями критически важных объектов компьютера в Active Directory, таких как контроллеры домена, административные рабочие станции и критически важные серверы. We recommend monitoring changes to critical computer objects in Active Directory, such as domain controllers, administrative workstations, and critical servers. Особенно важно знать, удаляются ли какие-либо критически важные объекты учетной записи компьютера. It’s especially important to be informed if any critical computer account objects are deleted. Кроме того, события в этой подкатегории дают вам сведения о том, кто удалил, создал или изменил объект компьютера, а также время действия. Additionally, events in this subcategory will give you information about who deleted, created, or modified a computer object, and when the action was taken. Как правило, таких событий мало на контроллерах домена. Typically volume of these events is low on domain controllers. В этой подкатегории нет событий сбоя, поэтому для этой подкатегории не существует рекомендаций по встраичею аудита сбоев. This subcategory doesn’t have Failure events, so there is no recommendation to enable Failure auditing for this subcategory. |
| Сервер-член Member Server | Нет No | Нет No | Нет No | Нет No | Эта подкатегория создает события только на контроллерах домена. This subcategory generates events only on domain controllers. |
| Workstation Workstation | Нет No | Нет No | Нет No | Нет No | Эта подкатегория создает события только на контроллерах домена. This subcategory generates events only on domain controllers. |
Список событий: Events List:
4741(S): создана учетная запись компьютера. 4741(S): A computer account was created.
4742(S): учетная запись компьютера была изменена. 4742(S): A computer account was changed.
4743(S): учетная запись компьютера удалена. 4743(S): A computer account was deleted.
Аудит проверки учетных данных Audit Credential Validation
Область применения Applies to
- Windows 10 Windows 10
- Windows Server 2016 Windows Server 2016
Проверка учетных данных аудита определяет, создает ли операционная система события аудита для учетных данных, отправленных для запроса на входа учетной записи пользователя. Audit Credential Validation determines whether the operating system generates audit events on credentials that are submitted for a user account logon request.
Эти события происходят на компьютере, который является полномочного для учетных данных следующим образом: These events occur on the computer that is authoritative for the credentials as follows:
Для учетных записей домена контроллер домена является полномочного. For domain accounts, the domain controller is authoritative.
Для локальных учетных записей локальный компьютер является до полномочного компьютера. For local accounts, the local computer is authoritative.
Том события: Event volume:
Высоко на контроллерах домена. High on domain controllers.
Низкий уровень на серверах-членах и рабочих станциях. Low on member servers and workstations.
Поскольку учетные записи доменов используются гораздо чаще, чем локальные учетные записи в корпоративных средах, большинство событий для регистрации учетных записей в среде домена происходит на контроллерах домена, которые являются до полномочного использования учетных записей домена. Because domain accounts are used much more frequently than local accounts in enterprise environments, most of the Account Logon events in a domain environment occur on the domain controllers that are authoritative for the domain accounts. Однако эти события могут возникать на любом компьютере, а также в сочетании с событиями входа и выйдите из системы или на отдельных компьютерах. However, these events can occur on any computer, and they may occur in conjunction with or on separate computers from Logon and Logoff events.
Основной причиной для данной подкатегории аудита является обработка попыток проверки подлинности локальных учетных записей, а для учетных записей домена — проверка подлинности NTLM в домене. The main reason to enable this auditing subcategory is to handle local accounts authentication attempts and, for domain accounts, NTLM authentication in the domain. Это особенно полезно для отслеживания неудачных попыток, для поиска атак с атаками с атакой атак с атакой на основе атак, а также для возможного компрометации учетных записей на контроллерах домена. It is especially useful for monitoring unsuccessful attempts, to find brute-force attacks, account enumeration, and potential account compromise events on domain controllers.
| Тип компьютера Computer Type | Общий успех General Success | Общий сбой General Failure | Более успешный успех Stronger Success | Более сильное сбой Stronger Failure | Комментарии Comments |
|---|---|---|---|---|---|
| Контроллер домена Domain Controller | IF IF | Да Yes | Да Yes | Да Yes | Ожидается большой объем событий для контроллеров домена, так как эта подкатегория создает события при попытке проверки подлинности с использованием любой учетной записи домена и проверки подлинности NTLM. Expected volume of events is high for domain controllers, because this subcategory will generate events when an authentication attempt is made using any domain account and NTLM authentication. IF — мы рекомендуем проводить аудит успешности, чтобы отслеживать события проверки подлинности учетной записи домена с помощью протокола NTLM. IF – We recommend Success auditing to keep track of domain-account authentication events using the NTLM protocol. Ожидается большой объем событий. Expect a high volume of events. Рекомендации по использованию и анализу собранных сведений см. в разделах**Security Monitoring Recommendations*. For recommendations for using and analyzing the collected information, see the *Security Monitoring Recommendations sections. Сбор событий аудита успешности в этой подкатегории для дальнейшего использования в случае инцидента безопасности не очень полезен, так как события в этой подкатегории не всегда информативны. Just collecting Success auditing events in this subcategory for future use in case of a security incident is not very useful, because events in this subcategory are not always informative. Рекомендуется проводить аудит сбоев, чтобы собирать сведения о неудачных попытках проверки подлинности с помощью учетных записей домена и протокола проверки подлинности NTLM. We recommend Failure auditing, to collect information about failed authentication attempts using domain accounts and the NTLM authentication protocol. |
| Сервер-член Member Server | Да Yes | Да Yes | Да Yes | Да Yes | Ожидаемое количество событий мало для рядк-серверов, так как эта подкатегория создает события при попытке проверки подлинности с использованием локальной учетной записи, которая не должна происходить слишком часто. Expected volume of events is low for member servers, because this subcategory will generate events when an authentication attempt is made using a local account, which should not happen too often. Мы рекомендуем проводить аудит успешности, чтобы отслеживать события проверки подлинности локальными учетными записями. We recommend Success auditing, to keep track of authentication events by local accounts. Рекомендуется проводить аудит сбоев, чтобы собирать сведения о неудачных попытках проверки подлинности локальными учетными записями. We recommend Failure auditing, to collect information about failed authentication attempts by local accounts. |
| Workstation Workstation | Да Yes | Да Yes | Да Yes | Да Yes | Ожидаемое количество событий мало для рабочих станций, так как эта подкатегория создает события при попытке проверки подлинности с использованием локальной учетной записи, которая не должна происходить слишком часто. Expected volume of events is low for workstations, because this subcategory will generate events when an authentication attempt is made using a local account, which should not happen too often. Мы рекомендуем проводить аудит успешности, чтобы отслеживать события проверки подлинности локальными учетными записями. We recommend Success auditing, to keep track of authentication events by local accounts. Рекомендуется проводить аудит сбоев, чтобы собирать сведения о неудачных попытках проверки подлинности локальными учетными записями. We recommend Failure auditing, to collect information about failed authentication attempts by local accounts. |
4774(S, F): учетная запись была соотнося с учетной записью для логоса. 4774(S, F): An account was mapped for logon.
4775(F): учетную запись не удалось соотоставить для учетной записи для учетной записи. 4775(F): An account could not be mapped for logon.
4776(S, F): компьютер попытался проверить учетные данные для учетной записи. 4776(S, F): The computer attempted to validate the credentials for an account.
4777(F): контроллеру домена не удалось проверить учетные данные для учетной записи. 4777(F): The domain controller failed to validate the credentials for an account.
