- Audit logon events
- Configure this audit setting
- Аудит события входа Audit logon events
- Настройка этого параметра аудита Configure this audit setting
- 4719(S): политика аудита системы была изменена. 4719(S): System audit policy was changed.
- Рекомендации по контролю безопасности Security Monitoring Recommendations
Audit logon events
Applies to
Determines whether to audit each instance of a user logging on to or logging off from a device.
Account logon events are generated on domain controllers for domain account activity and on local devices for local account activity. If both account logon and logon audit policy categories are enabled, logons that use a domain account generate a logon or logoff event on the workstation or server, and they generate an account logon event on the domain controller. Additionally, interactive logons to a member server or workstation that use a domain account generate a logon event on the domain controller as the logon scripts and policies are retrieved when a user logs on. For more info about account logon events, see Audit account logon events.
If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Success audits generate an audit entry when a logon attempt succeeds. Failure audits generate an audit entry when a logon attempt fails.
To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.
For information about advanced security policy settings for logon events, see the Logon/logoff section in Advanced security audit policy settings.
Configure this audit setting
You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
| Logon events | Description |
|---|---|
| 4624 | A user successfully logged on to a computer. For information about the type of logon, see the Logon Types table below. |
| 4625 | Logon failure. A logon attempt was made with an unknown user name or a known user name with a bad password. |
| 4634 | The logoff process was completed for a user. |
| 4647 | A user initiated the logoff process. |
| 4648 | A user successfully logged on to a computer using explicit credentials while already logged on as a different user. |
| 4779 | A user disconnected a terminal server session without logging off. |
When event 528 is logged, a logon type is also listed in the event log. The following table describes each logon type.
Аудит события входа Audit logon events
Область применения Applies to
Определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из нее с устройства. Determines whether to audit each instance of a user logging on to or logging off from a device.
События для регистрации учетной записи создаются на контроллерах домена для действий с учетной записью домена и на локальных устройствах для действий с локальной учетной записью. Account logon events are generated on domain controllers for domain account activity and on local devices for local account activity. Если включены обе категории политики аудита входа и входа, входы в систему, которые используют учетную запись домена, создают событие входа или входа в систему на рабочей станции или сервере, а также создают событие входа в учетную запись на контроллере домена. If both account logon and logon audit policy categories are enabled, logons that use a domain account generate a logon or logoff event on the workstation or server, and they generate an account logon event on the domain controller. Кроме того, интерактивные входы в систему на рядовом сервере или рабочей станции, которые используют учетную запись домена, создают событие входа на контроллере домена при извлечении скриптов и политик входа при входе пользователя в систему. Additionally, interactive logons to a member server or workstation that use a domain account generate a logon event on the domain controller as the logon scripts and policies are retrieved when a user logs on. Дополнительные сведения о событиях для учетной записи для учетной записи см. в записи аудита событий. For more info about account logon events, see Audit account logon events.
Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа. Success audits generate an audit entry when a logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа. Failure audits generate an audit entry when a logon attempt fails.
Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.
Дополнительные сведения о дополнительных параметрах политики безопасности для событий входа см. в разделе «Вход и выйдите» в разделе «Дополнительные параметры политики аудита безопасности». For information about advanced security policy settings for logon events, see the Logon/logoff section in Advanced security audit policy settings.
Настройка этого параметра аудита Configure this audit setting
Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
| События для логотипа Logon events | Описание Description |
|---|---|
| 4624 4624 | Пользователь успешно выполнил вход на компьютер. A user successfully logged on to a computer. Сведения о типе логоса см. в таблице «Типы для логотипа» ниже. For information about the type of logon, see the Logon Types table below. |
| 4625 4625 | Ошибка при работе с логотипом. Logon failure. Была предпринята попытка вводить данные с неизвестным именем пользователя или с неизвестным именем пользователя с некаленным паролем. A logon attempt was made with an unknown user name or a known user name with a bad password. |
| 4634 4634 | Для пользователя завершен процесс выйдите из сети. The logoff process was completed for a user. |
| 4647 4647 | Пользователь инициировал процесс выйдите из сети. A user initiated the logoff process. |
| 4648 4648 | Пользователь успешно выполнил вход на компьютер с использованием явных учетных данных, а уже вошел как другой пользователь. A user successfully logged on to a computer using explicit credentials while already logged on as a different user. |
| 4779 4779 | Пользователь отключил сеанс сервера терминалов, не выйдя из системы. A user disconnected a terminal server session without logging off. |
При регистрации события 528 в журнале событий также регистрируется тип входа. When event 528 is logged, a logon type is also listed in the event log. В следующей таблице описаны все типы для логотипа. The following table describes each logon type.
4719(S): политика аудита системы была изменена. 4719(S): System audit policy was changed.
Область применения Applies to
- Windows 10 Windows 10
- Windows Server 2016 Windows Server 2016
* Описание события: Event Description: *
Это событие создается при изменениях политики аудита компьютера. This event generates when the computer’s audit policy changes.
Это событие всегда регистрируется в журнале независимо от параметра под категории «Изменение политики аудита». This event is always logged regardless of the «Audit Policy Change» sub-category setting.
*Примечание.** Рекомендации приведены в разделе Рекомендации по мониторингу безопасности для этого события. *Note** For recommendations, see Security Monitoring Recommendations for this event.
*Обязательные роли сервера:* нет. Required Server Roles: None.
*Минимальная версия ОС:* Windows Server 2008, Windows Vista. Minimum OS Version: Windows Server 2008, Windows Vista.
* Описания полей: Field Descriptions: *
- Security ID [Type = SID]: SID учетной записи, которая влияла на локализованную политику аудита. Security ID [Type = SID]: SID of account that made a change to local audit policy. Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Event Viewer automatically tries to resolve SIDs and show the account name. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные. If the SID cannot be resolved, you will see the source data in the event.
Примечание. . Идентификатор безопасности (SID) представляет собой строковое значение переменной длины, которое используется для идентификации доверенного лица (субъекта безопасности). Note A security identifier (SID) is a unique value of variable length used to identify a trustee (security principal). Каждая учетная запись имеет уникальный идентификатор безопасности, выданный центром сертификации, таким как контроллер домена Active Directory, который хранится в базе данных безопасности. Each account has a unique SID that is issued by an authority, such as an Active Directory domain controller, and stored in a security database. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности этого пользователя из базы данных и помещает ее в маркер доступа этого пользователя. Each time a user logs on, the system retrieves the SID for that user from the database and places it in the access token for that user. Система использует идентификатор безопасности в маркере доступа для идентификации пользователя во всех последующих операциях с Безопасностью Windows. The system uses the SID in the access token to identify the user in all subsequent interactions with Windows security. Если идентификатор SID использовался как уникальный идентификатор для пользователя или группы, он не может использоваться повторно для идентификации другого пользователя или группы. When a SID has been used as the unique identifier for a user or group, it cannot ever be used again to identify another user or group. Дополнительные сведения о SID см. в разделе Идентификаторы безопасности. For more information about SIDs, see Security identifiers.
Имя учетной записи [Type = UnicodeString]: имя учетной записи, которая влияла на политику локального аудита. Account Name [Type = UnicodeString]: the name of the account that made a change to local audit policy.
Account Domain [Type = UnicodeString]: домен субъекта или имя компьютера. Account Domain [Type = UnicodeString]: subject’s domain or computer name. Форматы различаются и включают в себя следующее: Formats vary, and include the following:
Пример имени домена NETBIOS: CONTOSO Domain NETBIOS name example: CONTOSO
Полное имя домена в нижнем регистре: contoso.local Lowercase full domain name: contoso.local
Полное имя домена в верхнем регистре: CONTOSO.LOCAL Uppercase full domain name: CONTOSO.LOCAL
Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, значение этого поля равно «NT AUTHORITY». For some well-known security principals, such as LOCAL SERVICE or ANONYMOUS LOGON, the value of this field is “NT AUTHORITY”.
Для учетных записей локальных пользователей это поле будет содержать имя компьютера или устройства, к которым принадлежит эта учетная запись, например: «Win81». For local user accounts, this field will contain the name of the computer or device that this account belongs to, for example: “Win81”.
Logon ID [Type = HexInt64]: шестнадцатеричное значение, которое может помочь сопоставить это событие с недавними событиями содержащими тот же идентификатор входа, например: “4624: Учетная запись успешно вошла в систему.” Logon ID [Type = HexInt64]: hexadecimal value that can help you correlate this event with recent events that might contain the same Logon ID, for example, “4624: An account was successfully logged on.”
Аудит изменения политики: Audit Policy Change:
Категория: имя категории аудита, подкатегорию которой было изменено. Category: the name of auditing Category which subcategory was changed. Возможные значения: Possible values:
Учетная запись для логотипа Account Logon
Управление учетными записями Account Management
Подробное отслеживание Detailed Tracking
Доступ к DS DS Access
Вход и выйдите из нее Logon/Logoff
Доступ к объекту Object Access
Изменение политики Policy Change
Привилегированное использование Privilege Use
Подкатегория: имя измененной подкатегории аудита. Subcategory: the name of auditing Subcategory which was changed. Возможные значения: Possible values:
| Проверка учетных данных Credential Validation | Завершение процесса Process Termination | Сервер политики сети Network Policy Server |
|---|---|---|
| Служба проверки подлинности Kerberos Kerberos Authentication Service | События RPC RPC Events | Другие события входа и выйдите из нее Other Logon/Logoff Events |
| Kerberos Service Ticket Operations Kerberos Service Ticket Operations | Подробная репликация службы каталогов Detailed Directory Service Replication | Специальный логон Special Logon |
| Другие события входа и выйдите из нее Other Logon/Logoff Events | Доступ к службе каталогов Directory Service Access | Приложение сгенерировано Application Generated |
| Управление группой приложений Application Group Management | Изменения службы каталогов Directory Service Changes | Службы сертификации Certification Services |
| Управление учетной записью компьютера Computer Account Management | Репликация службы каталогов Directory Service Replication | Подробный файл Detailed File Share |
| Управление группой рассылки Distribution Group Management | Блокировка учетной записи Account Lockout | Файловая папка File Share |
| Другие события управления учетными записьми Other Account Management Events | Расширенный режим IPsec IPsec Extended Mode | Файловая система File System |
| Управление группой безопасности Security Group Management | Основной режим IPsec IPsec Main Mode | Подключение платформы фильтрации Filtering Platform Connection |
| Управление учетными записями пользователей User Account Management | Быстрый режим IPsec IPsec Quick Mode | Фильтрация пакета платформы Filtering Platform Packet Drop |
| Действие DPAPI DPAPI Activity | Выход Logoff | Обработка манипуляций Handle Manipulation |
| Создание процесса Process Creation | Logon Logon | Объект Kernel Kernel Object |
| Другие события доступа к объектам Other Object Access Events | Изменение политики платформы фильтрации Filtering Platform Policy Change | Драйвер IPsec IPsec Driver |
| Реестр Registry | Изменение политики Rule-Level MPSSVC MPSSVC Rule-Level Policy Change | Другие системные события Other System Events |
| SAM SAM | Другие события изменения политики Other Policy Change Events | Изменение состояния безопасности Security State Change |
| Изменение политики Policy Change | Неконфиденциальную привилегию Non-Sensitive Privilege Use | Расширение системы безопасности Security System Extension |
| Изменение политики проверки подлинности Authentication Policy Change | Конфиденциальное использование привилегий Sensitive Privilege Use | Целостность системы System Integrity |
| Изменение политики авторизации Authorization Policy Change | Другие события использования привилегий Other Privilege Use Events | События подключаемой и воспроизведения Plug and Play Events |
| Членство в группах Group Membership |
- GUID подкатегории: уникальный GUID подкатегории. Subcategory GUID: the unique subcategory GUID. Чтобы увидеть GUID подкатегории, можно использовать эту команду: auditpol /list /subcategory:* /v. To see Subcategory GUIDs you can use this command: auditpol /list /subcategory:* /v.
**** Примечание GUID — это аббревиатура для «Globally Unique Identifier». Note GUID is an acronym for ‘Globally Unique Identifier’. Это 128-битное число, используемого для идентификации ресурсов, действий или экземпляров. It is a 128-bit integer number used to identify resources, activities or instances.
Изменения: изменения, внесенные в подкатегорию. Changes: changes which were made for “Subcategory”. Возможные значения: Possible values:
Успешное удаление Success removed
Сбой удален Failure removed
Добавлена успешность Success added
Добавлен сбой Failure added
Это также может быть сочетание любого из вышеперечисленного, разделенных coma. It can be also a combination of any of the items above, separated by coma.
Рекомендации по контролю безопасности Security Monitoring Recommendations
Для 4719(S): политика аудита системы была изменена. For 4719(S): System audit policy was changed.
- Отслеживайте все события этого типа, особенно на ценных активах или компьютерах, так как любое изменение политики локального аудита должно быть запланировано. Monitor for all events of this type, especially on high value assets or computers, because any change in local audit policy should be planned. Если это действие не было запланировано, изучите причину изменения. If this action was not planned, investigate the reason for the change.
—>
