Локальные политики. Политика аудита
Перед тем, как задействовать политики аудита, необходимо решить, для каких категорий событий требуется аудит. Параметры аудита, выбранные для категорий событий, определяют политику аудита. На рядовых рабочих станциях параметры аудита для категорий событий не определены по умолчанию. Поэтому нам самим предстоит определить перечень системных событий, которые мы хотим отслеживать.
Для проведения аудита можно выбрать следующие категории событий:
• Аудит событий входа в систему
• Аудит управления учетными записями
• Аудит доступа к службе каталогов
• Аудит входа в систему
• Аудит доступа к объектам
• Аудит изменения политики
• Аудит использования привилегий
• Аудит отслеживания процессов
• Аудит системных событий
Аудит событий входа в систему
Описание
Этот параметр безопасности определяет, подлежит ли аудиту каждая попытка пользователя войти в систему с другого компьютера или выйти из нее, при условии что этот компьютер используется для проверки подлинности учетной записи (это всегда так, если мы работаем на своем локальном ПК, который не подключен ни к какому домену). События входа в систему формируются при проверке подлинности учетной записи пользователя. Событие регистрируется в журнале безопасности. Событие входа в систему создается при проверке подлинности локального пользователя на локальном компьютере. Событие регистрируется в локальном журнале безопасности. События выхода из системы не формируются.
Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему.
Чтобы установить значение Нет аудита, в диалоговом окне Свойства данного параметра политики установите флажок Определить следующие параметры политики и снимите флажки Успех и Отказ.
Можно оставить по умолчанию, или включить аудит как успехов, так и отказов.
Ниже приводится таблица кодов событий входа в систему и их значения. Может пригодиться для «разбора полетов».
События входа в систему |
Описание |
672 |
Билет службы проверки (AS) был успешно выдан и проверена его подлинность. |
673 |
Был предоставлен билет службы TGS. |
674 |
Участник безопасности возобновил билет службы проверки (AS) или билет TGS. |
675 |
Неудачная попытка предварительной проверки подлинности. Это событие формируется центром распределения ключей (KDC), если пользователь вводит неправильный пароль. |
676 |
Неудачная попытка запроса билета проверки подлинности. Это событие в Windows XP; и в семействе Windows Server 2003 не формируется. |
677 |
Билет TGS не был предоставлен. Это событие в Windows XP; и в семействе Windows Server 2003 не формируется. |
678 |
Учетная запись была успешно сопоставлена с учетной записью домена. |
681 |
Отказ входа в систему. Сделана попытка входа в систему по учетной записи домена. Это событие в Windows XP; и в семействе Windows Server 2003 не формируется. |
682 |
Пользователь повторно подключен к отключенному сеансу терминального сервера. |
683 |
Пользователь отключен от сеанса терминального сервера без выхода из системы. |
|