Аудит входа в системуОписание Этот параметр безопасности определяет, подлежит ли аудиту каждая попытка пользователя войти в систему с компьютера или выйти из нее. События входа в систему формируются контроллерами домена в процессе проверки учетных записей домена и локальными компьютерами при работе с локальными учетными записями. Если включены обе категории политик — учетных записей и аудита при входе в систему, — входы в систему, использующие учетную запись домена, формируют события входа или выхода на рабочей станции или сервере и событие входа в систему на контроллере домена. Кроме того, интерактивные входы с использованием учетной записи домена на рядовой сервер или рабочую станцию формируют событие входа на контроллере домена, в то время как при входе пользователя производится поиск сценариев входа и политик. Если этот параметр политики определен, можно задать аудит успехов или отказов либо вообще отключить аудит событий данного типа. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа. По умолчанию: «Успех». А если поставит «Отказ» - то можно будет узнать, кто ПЫТАЛСЯ войти в компьютер. И далее таблица кодов событий входа в систему. События входа в систему | Описание | 528 | Успешный вход пользователя на компьютер. Сведения о типах входа в систему см. ниже в таблице типов входа в систему. | 529 | Отказ входа в систему. Попытка входа в систему с неизвестным именем пользователя или с известным именем, но неправильным паролем. | 530 | Отказ входа в систему. Попытка входа в систему с учетной записью пользователя вне допустимого интервала времени. | 531 | Отказ входа в систему. Попытка входа в систему с использованием отключенной учетной записи пользователя. | 532 | Отказ входа в систему. Попытка входа в систему с использованием устаревшей учетной записи пользователя. | 533 | Отказ входа в систему. Попытка входа в систему пользователя, которому не разрешен вход на данный компьютер. | 534 | Отказ входа в систему. Попытка входа в систему с указанием неразрешенного типа входа. | 535 | Отказ входа в систему. Срок действия пароля для указанной учетной записи истек. | 536 | Отказ входа в систему. Служба Net Logon отключена. | 537 | Отказ входа в систему. Попытка входа в систему не удалась по другим причинам. Примечание • | В некоторых случаях причина отказа входа в систему может быть неизвестна. |
| 538 | Процесс выхода пользователя из системы завершен. | 539 | Отказ входа в систему. Во время попытки входа в систему учетная запись пользователя заблокирована. | 540 | Успешный вход пользователя в сеть. | 541 | Завершен основной режим проверки подлинности по протоколу IKE между локальным компьютером и зарегистрированной одноранговой тождественностью (установление надежного сопоставления), или быстрый режим установил канал данных. | 542 | Канал данных отключен. | 543 | Основной режим отключен. Примечание • | Примечание. Причиной этого может быть окончание временного интервала, ограничивающего длительность надежного соединения (по умолчанию — 8 часов), изменение политики или одноранговое завершение. |
| 544 | Отказ основного режима проверки подлинности из-за того, что партнер не обеспечил действительный сертификат или не подтверждена подлинность подписи. | 545 | Отказ основного режима проверки подлинности из-за отказа Kerberos или неверного пароля. | 546 | Отказ создания надежного соединения IKE, вызванный поступлением от партнера неприемлемого предложения. Прием пакета, содержащего неверные данные. | 547 | Отказ во время процедуры установления соединения IKE. | 548 | Отказ входа в систему. Идентификатор надежности (SID), полученный от доверенного домена, не соответствует SID учетной записи домена для клиента. | 549 | Отказ входа в систему. Все идентификаторы надежности SID, соответствующие недоверенным пространствам имен, были отфильтрованы во время проверки подлинности в лесах. | 550 | Сообщение уведомления, которое может указывать на возможную атаку на службу. | 551 | Пользователь инициировал процесс выхода из системы. | 552 | Пользователь успешно вошел на компьютер, используя правильные учетные данные, несмотря на то что до этого уже вошел как другой пользователь. | 682 | Пользователь повторно подключен к отключенному сеансу терминального сервера. | 683 | Пользователь отключен от сеанса терминального сервера без выхода из системы. Примечание • | Это событие формируется, когда пользователь подключен к сеансу терминального сервера через сеть. Оно появляется на сервере терминалов. |
|
При записи события 528 в журнал событий также заносится тип входа. Типы входа в систему перечислены в следующей таблице. Тип входа в систему | Название типа входа | Описание | 2 | Интерактивный | Успешный вход пользователя на компьютер. | 3 | Сеть | Пользователь или компьютер вошли на данный компьютер через сеть. | 4 | Пакетный | Пакетный тип входа используется пакетными серверами, исполнение процессов на которых производится по поручению пользователя, но без его прямого вмешательства. | 5 | Служба | Службазапущена Service Control Manager. | 7 | Разблокирование | Эта рабочая станция разблокирована. | 8 | NetworkCleartext | Пользователь вошел на данный компьютер через сеть. Пароль пользователя передан в пакет проверки подлинности в его нехешированной форме. Встроенная проверка подлинности упаковывает все хешированные учетные записи перед их отправкой через сеть. Учетные данные не передаются через сеть открытым текстом. | 9 | NewCredentials | Посетитель клонировал свой текущий маркер и указал новые учетные записи для исходящих соединений. Новый сеанс входа в систему имеет ту же самую локальную тождественность, но использует отличающиеся учетные записи для сетевых соединений. | 10 | RemoteInteractive | Пользователь выполнил удаленный вход на этот компьютер, используя Terminal Services или Remote Desktop. | 11 | CachedInteractive | Пользователь вошел на этот компьютер с сетевыми учетными данными, которые хранились локально на компьютере. Контроллер домена не использовался для проверки учетных данных. |
|