- Аудит события входа Audit logon events
- Настройка этого параметра аудита Configure this audit setting
- Аудит событий входа в систему Audit account logon events
- Настройка этого параметра аудита Configure this audit setting
- Аудит безопасности в Windows
- Что такое аудит безопасности в Windows?
- Как установить и настроить аудит безопасности в Windows?
- Как контролировать события входа в Windows?
- Как контролировать события доступа к файлам?
- Аудит других событий входа и выхода Audit Other Logon/Logoff Events
Аудит события входа Audit logon events
Область применения Applies to
Определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из нее с устройства. Determines whether to audit each instance of a user logging on to or logging off from a device.
События для регистрации учетной записи создаются на контроллерах домена для действий с учетной записью домена и на локальных устройствах для действий с локальной учетной записью. Account logon events are generated on domain controllers for domain account activity and on local devices for local account activity. Если включены обе категории политики аудита входа и входа, входы в систему, которые используют учетную запись домена, создают событие входа или входа в систему на рабочей станции или сервере, а также создают событие входа в учетную запись на контроллере домена. If both account logon and logon audit policy categories are enabled, logons that use a domain account generate a logon or logoff event on the workstation or server, and they generate an account logon event on the domain controller. Кроме того, интерактивные входы в систему на рядовом сервере или рабочей станции, которые используют учетную запись домена, создают событие входа на контроллере домена при извлечении скриптов и политик входа при входе пользователя в систему. Additionally, interactive logons to a member server or workstation that use a domain account generate a logon event on the domain controller as the logon scripts and policies are retrieved when a user logs on. Дополнительные сведения о событиях для учетной записи для учетной записи см. в записи аудита событий. For more info about account logon events, see Audit account logon events.
Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа. Success audits generate an audit entry when a logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа. Failure audits generate an audit entry when a logon attempt fails.
Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.
Дополнительные сведения о дополнительных параметрах политики безопасности для событий входа см. в разделе «Вход и выйдите» в разделе «Дополнительные параметры политики аудита безопасности». For information about advanced security policy settings for logon events, see the Logon/logoff section in Advanced security audit policy settings.
Настройка этого параметра аудита Configure this audit setting
Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
| События для логотипа Logon events | Описание Description |
|---|---|
| 4624 4624 | Пользователь успешно выполнил вход на компьютер. A user successfully logged on to a computer. Сведения о типе логоса см. в таблице «Типы для логотипа» ниже. For information about the type of logon, see the Logon Types table below. |
| 4625 4625 | Ошибка при работе с логотипом. Logon failure. Была предпринята попытка вводить данные с неизвестным именем пользователя или с неизвестным именем пользователя с некаленным паролем. A logon attempt was made with an unknown user name or a known user name with a bad password. |
| 4634 4634 | Для пользователя завершен процесс выйдите из сети. The logoff process was completed for a user. |
| 4647 4647 | Пользователь инициировал процесс выйдите из сети. A user initiated the logoff process. |
| 4648 4648 | Пользователь успешно выполнил вход на компьютер с использованием явных учетных данных, а уже вошел как другой пользователь. A user successfully logged on to a computer using explicit credentials while already logged on as a different user. |
| 4779 4779 | Пользователь отключил сеанс сервера терминалов, не выйдя из системы. A user disconnected a terminal server session without logging off. |
При регистрации события 528 в журнале событий также регистрируется тип входа. When event 528 is logged, a logon type is also listed in the event log. В следующей таблице описаны все типы для логотипа. The following table describes each logon type.
Аудит событий входа в систему Audit account logon events
Область применения Applies to
Определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из него с другого устройства, на котором это устройство используется для проверки учетной записи. Determines whether to audit each instance of a user logging on to or logging off from another device in which this device is used to validate the account.
Этот параметр безопасности определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из него с другого компьютера, на котором этот компьютер используется для проверки учетной записи. This security setting determines whether to audit each instance of a user logging on to or logging off from another computer in which this computer is used to validate the account. События для регистрации учетной записи создаются при проверке подлинности учетной записи пользователя домена на контроллере домена. Account logon events are generated when a domain user account is authenticated on a domain controller. Событие регистрируется в журнале безопасности контроллера домена. The event is logged in the domain controller’s security log. События для локалки создаются при проверке подлинности локального пользователя на локальном компьютере. Logon events are generated when a local user is authenticated on a local computer. Событие регистрируется в локальном журнале безопасности. The event is logged in the local security log. События выйдите из учетной записи не создаются. Account logoff events are not generated.
Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа в учетную запись. Success audits generate an audit entry when an account logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа в учетную запись. Failure audits generate an audit entry when an account logon attempt fails. Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.
По умолчанию: успех Default: Success
Настройка этого параметра аудита Configure this audit setting
Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
Аудит безопасности в Windows
Что такое аудит безопасности в Windows?
Аудит безопасности Windows — это технические средства и мероприятия, направленные на регистрацию и систематический регулярный анализ событий, влияющих на безопасность информационных систем предприятия. Технически, аудит безопасности в Windows реализуется через настройку политик аудита и настройку аудита объектов. Политика аудита определяет какие события и для каких объектов будут генерироваться в журнал событий Безопасность. Регулярный анализ данных журнала безопасности относится к организационным мерам, для поддержки которых может применяться различное программное обеспечение. В самом простом случае можно обходиться приложением Просмотр событий. Для автоматизации задач анализа событий безопасности могут применяться более продвинутые программы и системы управления событиями безопасности (SIEM), обеспечивающие постоянный контроль журналов безопасности, обнаружение новых событий, их классификацию, оповещение специалистов при обнаружении критических событий. Наша программа Event Log Explorer также содержит набор функций для автоматизации мониторинга событий для любых журналов событий.
Как установить и настроить аудит безопасности в Windows?
Аудит безопасности Windows включается через Групповую политику (Group Policy) в Active Directory или Локальную политику безопасности. Чтобы настроить аудит на отдельном компьютере, без Active Directory, выполните следующие шаги:
- Откройте Панель управления Windows, выберите Администрирование (Administrative Tools), и затем запустите Локальная политика безопасности (Local Security Policy)
- Откройте ветвь Локальные политики и выберите Политика Аудита
- В правой панели окна Локальная политика безопасности (Local Security Policy) вы увидите список политик аудита. Двойным кликом на интересующей вас политике откройте параметры и установите флажки Аудит успехов или Аудит отказов (Success or Failure).
Так настраиваются базовые политики аудита.
Начиная с Windows 2008 R2/Windows 7, вы можете использовать Расширенные политики (Advanced Security Audit Policy):
Local Security Policy -> Advanced Audit Policy Configuration -> System Audit Policies.
Подробная информация про расширенные политики (Advanced Security Audit Policy) доступна тут https://technet.microsoft.com/en-us/library/dn319056.aspx
Как контролировать события входа в Windows?
Аудит безопасности Windows позволяет контроллировать события входа в систему и обнаруживать неудачные попытки входа. Система Windows генерирует такие события не только при непосредственной попытке входа в систему, но и при удаленном доступе с другого компьютера к ресурсам с общим доступом. Аудит событий входа помогает обнаруживать подозрительную активность или потенциальные атаки при администрировании и расследовании инцидентов
Для отдельного компьютера (без Active Directory) аудит событий входа настраивается так:
- Откройте ветвь Локальные политики (Local Policies) в Локальная политика безопасности (Local Security Policy)
- Выберите Audit Policy.
- Двойным кликом откройте Аудит событий входа (Audit logon events) и включите опции аудита успехов и отказов (Success и Failure).
После этого все попытки входа — успешные и неудачные будут протоколироваться в журнал событий Безопасность
Список кодов важных событий входа в систему
| Event ID | Текст описания события |
|---|---|
| 4624 | Вход с учетной записью выполнен успешно |
| 4625 | Не удалось выполнить вход с учетной записью |
| 4648 | Попытка входа в систему, используя явные учетные данные |
| 4675 | Идентификаторы безопасности были отфильтрованы |
Подробнее с кодами событий безопасности можно ознакомиться тут https://support.microsoft.com/ru-ru/kb/977519
Как контролировать события доступа к файлам?
Средства Аудита безопасности Windows позволяют контролировать доступ к файлам, папкам, ключам реестра и другим объектам и другим системным объектам у которых есть SACL. Мониторинг доступа к файлам для файл-сервера может быть важной задачей и средства аудита безопасности Windows помогают администраторам в этом. Аудит доступа к файлам и реестру позволяет обнаруживать попытки несанкционированного доступа к файлам и предотвращать или отслеживать изменения конфигураций системы и программ.
Аудит других событий входа и выхода Audit Other Logon/Logoff Events
Относится к: Applies to
- Windows 10 Windows 10
- Windows Server 2016 Windows Server 2016
Аудит других событий Logon/Logoff определяет, создает ли Windows события аудита для других событий логона или журналов. Audit Other Logon/Logoff Events determines whether Windows generates audit events for other logon or logoff events.
К числу других событий с логотипом или журналом относятся следующие: These other logon or logoff events include:
Сеанс удаленного рабочего стола подключается или отключается. A Remote Desktop session connects or disconnects.
Рабочие станции заблокированы или разблокированы. A workstation is locked or unlocked.
Заставку экрана вызывается или отклоняться. A screen saver is invoked or dismissed.
Обнаружена атака повтора. A replay attack is detected. Это событие указывает на то, что запрос Kerberos был дважды получен с идентичными сведениями. This event indicates that a Kerberos request was received twice with identical information. Это условие также может быть вызвано неправильной оценкой сети. This condition could also be caused by network misconfiguration.
Пользователю предоставляется доступ к беспроводной сети. A user is granted access to a wireless network. Это может быть учетная запись пользователя или учетная запись компьютера. It can be either a user account or the computer account.
Пользователю предоставляется доступ к проводной сети 802.1x. A user is granted access to a wired 802.1x network. Это может быть учетная запись пользователя или учетная запись компьютера. It can be either a user account or the computer account.
События Logon имеют важное значение для понимания активности пользователей и обнаружения потенциальных атак. Logon events are essential to understanding user activity and detecting potential attacks.
Объем событий: низкий. Event volume: Low.
| Тип компьютера Computer Type | Общий успех General Success | Общий сбой General Failure | Более сильный успех Stronger Success | Более сильный сбой Stronger Failure | Комментарии Comments |
|---|---|---|---|---|---|
| Контроллер домена Domain Controller | Да Yes | Да Yes | Да Yes | Да Yes | Рекомендуется проверять успешность, отслеживать возможные атаки повтора Kerberos, подключение к сеансу терминала и отключение действий, событий проверки подлинности сети и некоторых других событий. We recommend Success auditing, to track possible Kerberos replay attacks, terminal session connect and disconnect actions, network authentication events, and some other events. Объем этих событий обычно очень низкий. Volume of these events is typically very low. События сбоя покажут, когда запрашиваемая делегация credSSP учетных данных была отсеяна политикой. Failure events will show you when requested credentials CredSSP delegation was disallowed by policy. Объем этих событий очень низкий— обычно вы не получите ни одного из этих событий. The volume of these events is very low—typically you will not get any of these events. |
| Сервер участника Member Server | Да Yes | Да Yes | Да Yes | Да Yes | Рекомендуется проверять успешность, отслеживать возможные сеансы подключения и отключения терминалов, событий проверки подлинности сети и некоторых других событий. We recommend Success auditing, to track possible terminal session connect and disconnect actions, network authentication events, and some other events. Объем этих событий обычно очень низкий. Volume of these events is typically very low. События сбоя покажут, когда запрашиваемая делегация credSSP учетных данных была отсеяна политикой. Failure events will show you when requested credentials CredSSP delegation was disallowed by policy. Объем этих событий очень низкий— обычно вы не получите ни одного из этих событий. The volume of these events is very low—typically you will not get any of these events. |
| Workstation Workstation | Да Yes | Да Yes | Да Yes | Да Yes | Рекомендуется проверять успешность, отслеживать возможные сеансы подключения и отключения терминалов, событий проверки подлинности сети и некоторых других событий. We recommend Success auditing, to track possible terminal session connect and disconnect actions, network authentication events, and some other events. Объем этих событий обычно очень низкий. Volume of these events is typically very low. События сбоя покажут, когда запрашиваемая делегация credSSP учетных данных была отсеяна политикой. Failure events will show you when requested credentials CredSSP delegation was disallowed by policy. Объем этих событий очень низкий— обычно вы не получите ни одного из этих событий. The volume of these events is very low—typically you will not get any of these events. |
Список событий: Events List:
4649(S): обнаружена атака повтора. 4649(S): A replay attack was detected.
4778(S): сеанс был подключен к оконной станции. 4778(S): A session was reconnected to a Window Station.
4779(S): сеанс был отключен от оконной станции. 4779(S): A session was disconnected from a Window Station.
4800(S): рабочие станции были заблокированы. 4800(S): The workstation was locked.
4801(S). Рабочие станции были разблокированы. 4801(S): The workstation was unlocked.
4802(S): был вызван засверка экрана. 4802(S): The screen saver was invoked.
4803(S): заставку экрана была отклонена. 4803(S): The screen saver was dismissed.
5378(F): запрашиваемая делегация учетных данных была отсеяна политикой. 5378(F): The requested credentials delegation was disallowed by policy.
5632(S): был сделан запрос на проверку подлинности в беспроводной сети. 5632(S): A request was made to authenticate to a wireless network.
5633(S). Был сделан запрос на проверку подлинности в проводной сети. 5633(S): A request was made to authenticate to a wired network.
