- Аудит события входа Audit logon events
- Настройка этого параметра аудита Configure this audit setting
- Аудит входа в систему Audit Logon
- Аудит событий входа в систему Audit account logon events
- Настройка этого параметра аудита Configure this audit setting
- Аудит управления учетными записями пользователей Audit User Account Management
Аудит события входа Audit logon events
Область применения Applies to
Определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из нее с устройства. Determines whether to audit each instance of a user logging on to or logging off from a device.
События для регистрации учетной записи создаются на контроллерах домена для действий с учетной записью домена и на локальных устройствах для действий с локальной учетной записью. Account logon events are generated on domain controllers for domain account activity and on local devices for local account activity. Если включены обе категории политики аудита входа и входа, входы в систему, которые используют учетную запись домена, создают событие входа или входа в систему на рабочей станции или сервере, а также создают событие входа в учетную запись на контроллере домена. If both account logon and logon audit policy categories are enabled, logons that use a domain account generate a logon or logoff event on the workstation or server, and they generate an account logon event on the domain controller. Кроме того, интерактивные входы в систему на рядовом сервере или рабочей станции, которые используют учетную запись домена, создают событие входа на контроллере домена при извлечении скриптов и политик входа при входе пользователя в систему. Additionally, interactive logons to a member server or workstation that use a domain account generate a logon event on the domain controller as the logon scripts and policies are retrieved when a user logs on. Дополнительные сведения о событиях для учетной записи для учетной записи см. в записи аудита событий. For more info about account logon events, see Audit account logon events.
Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа. Success audits generate an audit entry when a logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа. Failure audits generate an audit entry when a logon attempt fails.
Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.
Дополнительные сведения о дополнительных параметрах политики безопасности для событий входа см. в разделе «Вход и выйдите» в разделе «Дополнительные параметры политики аудита безопасности». For information about advanced security policy settings for logon events, see the Logon/logoff section in Advanced security audit policy settings.
Настройка этого параметра аудита Configure this audit setting
Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
| События для логотипа Logon events | Описание Description |
|---|---|
| 4624 4624 | Пользователь успешно выполнил вход на компьютер. A user successfully logged on to a computer. Сведения о типе логоса см. в таблице «Типы для логотипа» ниже. For information about the type of logon, see the Logon Types table below. |
| 4625 4625 | Ошибка при работе с логотипом. Logon failure. Была предпринята попытка вводить данные с неизвестным именем пользователя или с неизвестным именем пользователя с некаленным паролем. A logon attempt was made with an unknown user name or a known user name with a bad password. |
| 4634 4634 | Для пользователя завершен процесс выйдите из сети. The logoff process was completed for a user. |
| 4647 4647 | Пользователь инициировал процесс выйдите из сети. A user initiated the logoff process. |
| 4648 4648 | Пользователь успешно выполнил вход на компьютер с использованием явных учетных данных, а уже вошел как другой пользователь. A user successfully logged on to a computer using explicit credentials while already logged on as a different user. |
| 4779 4779 | Пользователь отключил сеанс сервера терминалов, не выйдя из системы. A user disconnected a terminal server session without logging off. |
При регистрации события 528 в журнале событий также регистрируется тип входа. When event 528 is logged, a logon type is also listed in the event log. В следующей таблице описаны все типы для логотипа. The following table describes each logon type.
Аудит входа в систему Audit Logon
Область применения Applies to
- Windows 10 Windows 10
- Windows Server 2016 Windows Server 2016
Аудит входа определяет, генерирует ли операционная система события аудита при попытке пользователя войти на компьютер. Audit Logon determines whether the operating system generates audit events when a user attempts to log on to a computer.
Эти события связаны с созданием сеансов входов и происходят на компьютере, к нему был доступ. These events are related to the creation of logon sessions and occur on the computer that was accessed. Для интерактивного входа события создаются на компьютере, на который был внесен вход. For an interactive logon, events are generated on the computer that was logged on to. При входе в сеть, например при доступе к ресурсу, события создаются на компьютере, на котором размещен ресурс, к нему был доступ. For a network logon, such as accessing a share, events are generated on the computer that hosts the resource that was accessed.
Записываются следующие события: The following events are recorded:
Успешное и неудачное влияние в системы. Logon success and failure.
Попытки входа с использованием явных учетных данных. Logon attempts by using explicit credentials. Это событие создается, когда процесс пытается войти в учетную запись, явно указав учетные данные этой учетной записи. This event is generated when a process attempts to log on an account by explicitly specifying that account’s credentials. Это чаще всего происходит в пакетных конфигурациях, таких как запланированные задачи, или при использовании команды RunAs. This most commonly occurs in batch configurations such as scheduled tasks, or when using the RunAs command.
Идентификаторы безопасности фильтруются. Security identifiers (SIDs) are filtered.
События для работы с клиентами необходимы для отслеживания активности пользователей и обнаружения потенциальных атак. Logon events are essential to tracking user activity and detecting potential attacks.
Том события: Event volume:
Мало на клиентских компьютерах. Low on a client computer.
Средний на контроллерах домена или сетевых серверах. Medium on a domain controllers or network servers.
| Тип компьютера Computer Type | Общий успех General Success | Общий сбой General Failure | Более успешный успех Stronger Success | Более сильное сбой Stronger Failure | Комментарии Comments |
|---|---|---|---|---|---|
| Контроллер домена Domain Controller | Да Yes | Да Yes | Да Yes | Да Yes | Аудит событий входа, например, даст вам сведения о том, какая учетная запись, когда, с помощью какой тип входа, с которого компьютер вошел в систему на этом компьютере. Audit Logon events, for example, will give you information about which account, when, using which Logon Type, from which machine logged on to this machine. В событиях сбоя будут демонстрироваться неудачные попытки и причины неудачных попыток. Failure events will show you failed logon attempts and the reason why these attempts failed. |
| Сервер-член Member Server | Да Yes | Да Yes | Да Yes | Да Yes | Аудит событий входа, например, даст вам сведения о том, какая учетная запись, когда, с помощью какой тип входа, с которого компьютер вошел в систему на этом компьютере. Audit Logon events, for example, will give you information about which account, when, using which Logon Type, from which machine logged on to this machine. В событиях сбоя будут демонстрироваться неудачные попытки и причины неудачных попыток. Failure events will show you failed logon attempts and the reason why these attempts failed. |
| Workstation Workstation | Да Yes | Да Yes | Да Yes | Да Yes | Аудит событий входа, например, даст вам сведения о том, какая учетная запись, когда, с помощью какой тип входа, с которого компьютер вошел в систему на этом компьютере. Audit Logon events, for example, will give you information about which account, when, using which Logon Type, from which machine logged on to this machine. В событиях сбоя будут демонстрироваться неудачные попытки и причины неудачных попыток. Failure events will show you failed logon attempts and the reason why these attempts failed. |
Список событий: Events List:
4624(S): учетная запись успешно вошел в систему. 4624(S): An account was successfully logged on.
4625(F): учетной записи не удалось войти в систему. 4625(F): An account failed to log on.
4648(S): попытка входа с использованием явных учетных данных. 4648(S): A logon was attempted using explicit credentials.
4675(S): фильтруются ИД безопасности. 4675(S): SIDs were filtered.
Аудит событий входа в систему Audit account logon events
Область применения Applies to
Определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из него с другого устройства, на котором это устройство используется для проверки учетной записи. Determines whether to audit each instance of a user logging on to or logging off from another device in which this device is used to validate the account.
Этот параметр безопасности определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из него с другого компьютера, на котором этот компьютер используется для проверки учетной записи. This security setting determines whether to audit each instance of a user logging on to or logging off from another computer in which this computer is used to validate the account. События для регистрации учетной записи создаются при проверке подлинности учетной записи пользователя домена на контроллере домена. Account logon events are generated when a domain user account is authenticated on a domain controller. Событие регистрируется в журнале безопасности контроллера домена. The event is logged in the domain controller’s security log. События для локалки создаются при проверке подлинности локального пользователя на локальном компьютере. Logon events are generated when a local user is authenticated on a local computer. Событие регистрируется в локальном журнале безопасности. The event is logged in the local security log. События выйдите из учетной записи не создаются. Account logoff events are not generated.
Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа в учетную запись. Success audits generate an audit entry when an account logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа в учетную запись. Failure audits generate an audit entry when an account logon attempt fails. Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.
По умолчанию: успех Default: Success
Настройка этого параметра аудита Configure this audit setting
Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
Аудит управления учетными записями пользователей Audit User Account Management
Область применения Applies to
- Windows 10 Windows 10
- Windows Server 2016 Windows Server 2016
Аудит управления учетными записями пользователей определяет, создает ли операционная система события аудита при выполнении определенных задач управления учетными записями пользователей. Audit User Account Management determines whether the operating system generates audit events when specific user account management tasks are performed.
Объем события: низкий. Event volume: Low.
Этот параметр политики позволяет проверять изменения учетных записей пользователей. This policy setting allows you to audit changes to user accounts. События включают следующее: Events include the following:
Учетная запись пользователя создается, меняется, удаляется, переименовываются, отключаются, включены, заблокированы или разблокированы. A user account is created, changed, deleted, renamed, disabled, enabled, locked out or unlocked.
Пароль учетной записи пользователя за установлен или изменен. A user account’s password is set or changed.
Идентификатор безопасности (SID) добавляется в историю SID учетной записи пользователя или не добавляется. A security identifier (SID) is added to the SID History of a user account, or fails to be added.
Пароль режима восстановления служб каталогов настроен. The Directory Services Restore Mode password is configured.
Разрешения для учетных записей администраторов изменены. Permissions on administrative user accounts are changed.
Было енотализовано членство пользователя в локальной группе. A user’s local group membership was enumerated.
Учетные данные диспетчера учетных данных восстанавливаются или восстанавливаются. Credential Manager credentials are backed up or restored.
Некоторые события в этой подкатегории, например 4722, 4725, 4724 и 4781, также создаются для учетных записей компьютеров. Some events in this subcategory, for example 4722, 4725, 4724, and 4781, are also generated for computer accounts.
| Тип компьютера Computer Type | Общий успех General Success | Общий сбой General Failure | Более успешный успех Stronger Success | Более сильное сбой Stronger Failure | Комментарии Comments |
|---|---|---|---|---|---|
| Контроллер домена Domain Controller | Да Yes | Да Yes | Да Yes | Да Yes | Эта подкатегория содержит множество полезных событий для мониторинга, особенно для критически важных учетных записей домена, таких как администраторы домена, учетные записи служб, администраторы баз данных и так далее. This subcategory contains many useful events for monitoring, especially for critical domain accounts, such as domain admins, service accounts, database admins, and so on. Мы рекомендуем проводить аудит сбоев, в основном, чтобы увидеть недопустимые попытки смены и сброса пароля для учетных записей домена, ошибки смены пароля учетной записи DSRM и неудачные попытки добавления sid History. We recommend Failure auditing, mostly to see invalid password change and reset attempts for domain accounts, DSRM account password change failures, and failed SID History add attempts. |
| Сервер-член Member Server | Да Yes | Да Yes | Да Yes | Да Yes | Рекомендуется следить за всеми изменениями, связанными с локальными учетными записями пользователей, особенно встроенными локальными администраторами и другими критически важными учетными записями. We recommend monitoring all changes related to local user accounts, especially built-in local Administrator and other critical accounts. Мы рекомендуем проводить аудит сбоев, в основном, чтобы увидеть недопустимые попытки смены пароля и сброса для локальных учетных записей. We recommend Failure auditing, mostly to see invalid password change and reset attempts for local accounts. |
| Workstation Workstation | Да Yes | Да Yes | Да Yes | Да Yes | Рекомендуется следить за всеми изменениями, связанными с локальными учетными записями пользователей, особенно встроенными локальными администраторами и другими критически важными учетными записями. We recommend monitoring all changes related to local user accounts, especially built-in local Administrator and other critical accounts. Мы рекомендуем проводить аудит сбоев, в основном, чтобы увидеть недопустимые попытки смены пароля и сброса для локальных учетных записей. We recommend Failure auditing, mostly to see invalid password change and reset attempts for local accounts. |
Список событий: Events List:
4720(S): создана учетная запись пользователя. 4720(S): A user account was created.
4722(S): учетная запись пользователя включена. 4722(S): A user account was enabled.
4723(S, F): предпринята попытка изменить пароль учетной записи. 4723(S, F): An attempt was made to change an account’s password.
4724(S, F): предпринята попытка сбросить пароль учетной записи. 4724(S, F): An attempt was made to reset an account’s password.
4725(S): учетная запись пользователя отключена. 4725(S): A user account was disabled.
4726(S): учетная запись пользователя удалена. 4726(S): A user account was deleted.
4738(S): учетная запись пользователя была изменена. 4738(S): A user account was changed.
4740(S): учетная запись пользователя заблокирована. 4740(S): A user account was locked out.
4765(S): в учетную запись добавлена история SID. 4765(S): SID History was added to an account.
4766(F): не удалось добавить историю SID в учетную запись. 4766(F): An attempt to add SID History to an account failed.
4767(S): учетная запись пользователя разблокирована. 4767(S): A user account was unlocked.
4780(S): ACL был установлен для учетных записей, которые являются членами групп администраторов. 4780(S): The ACL was set on accounts which are members of administrators groups.
4781(S): имя учетной записи было изменено. 4781(S): The name of an account was changed.
4794(S, F): предпринята попытка установить пароль администратора режима восстановления служб каталогов. 4794(S, F): An attempt was made to set the Directory Services Restore Mode administrator password.
4798(S): было енотализовано членство пользователя в локальной группе. 4798(S): A user’s local group membership was enumerated.
5376(S): для учетных данных диспетчера учетных данных было сдек. 5376(S): Credential Manager credentials were backed up.
5377(S): учетные данные диспетчера учетных данных восстановлены из резервной копии. 5377(S): Credential Manager credentials were restored from a backup.
