Аудит входа в систему. Описание событий

Все об администрировании Windows NT/2000/2003/2008/2012 Server (в т.ч. R2) серверов. Групповые политики, домены, безопасность и пр. То, чего не найдешь в бескрайних просторах Интернета. Решения тех проблем, которые не решаются типовыми ответами, которые можно получить в техподдержке Майкрософта - а именно: переустановить продукт или купить какой-ть другой лицензионный диск.


Модератор: UncleFather

Аватара пользователя
UncleFather
Site Admin
Сообщения: 1505
Зарегистрирован: 17 авг 2004 16:20, Вт
Контактная информация:

Аудит входа в систему. Описание событий

Сообщение UncleFather »

528 Успешный вход пользователя на компьютер. Сведения о типах входа в систему см. ниже в таблице типов входа в систему.
529 Отказ входа в систему. Попытка входа в систему с неизвестным именем пользователя или с известным именем, но неправильным паролем.
530 Отказ входа в систему. Попытка входа в систему с учетной записью пользователя вне допустимого интервала времени.
531 Отказ входа в систему. Попытка входа в систему с использованием отключенной учетной записи пользователя.
532 Отказ входа в систему. Попытка входа в систему с использованием устаревшей учетной записи пользователя.
533 Отказ входа в систему. Попытка входа в систему пользователя, которому не разрешен вход на данный компьютер.
534 Отказ входа в систему. Попытка входа в систему с указанием неразрешенного типа входа.
535 Отказ входа в систему. Срок действия пароля для указанной учетной записи истек.
536 Отказ входа в систему. Служба Net Logon отключена.
537 Отказ входа в систему. Попытка входа в систему не удалась по другим причинам.
Примечание
В некоторых случаях причина отказа входа в систему может быть неизвестна.


538 Процесс выхода пользователя из системы завершен.
539 Отказ входа в систему. Во время попытки входа в систему учетная запись пользователя заблокирована.
540 Успешный вход пользователя в сеть.
541 Завершен основной режим проверки подлинности по протоколу IKE между локальным компьютером и зарегистрированной одноранговой тождественностью (установление надежного сопоставления), или быстрый режим установил канал данных.
542 Канал данных отключен.
543 Основной режим отключен.
Примечание
Примечание. Причиной этого может быть окончание временного интервала, ограничивающего длительность надежного соединения (по умолчанию — 8 часов), изменение политики или одноранговое завершение.


544 Отказ основного режима проверки подлинности из-за того, что партнер не обеспечил действительный сертификат или не подтверждена подлинность подписи.
545 Отказ основного режима проверки подлинности из-за отказа Kerberos или неверного пароля.
546 Отказ создания надежного соединения IKE, вызванный поступлением от партнера неприемлемого предложения. Прием пакета, содержащего неверные данные.
547 Отказ во время процедуры установления соединения IKE.
548 Отказ входа в систему. Идентификатор надежности (SID), полученный от доверенного домена, не соответствует SID учетной записи домена для клиента.
549 Отказ входа в систему. Все идентификаторы надежности SID, соответствующие недоверенным пространствам имен, были отфильтрованы во время проверки подлинности в лесах.
550 Сообщение уведомления, которое может указывать на возможную атаку на службу.
551 Пользователь инициировал процесс выхода из системы.
552 Пользователь успешно вошел на компьютер, используя правильные учетные данные, несмотря на то что до этого уже вошел как другой пользователь.
682 Пользователь повторно подключен к отключенному сеансу терминального сервера.
683 Пользователь отключен от сеанса терминального сервера без выхода из системы.
Примечание
Это событие формируется, когда пользователь подключен к сеансу терминального сервера через сеть. Оно появляется на сервере терминалов.

При записи события 528 в журнал событий также заносится тип входа. Типы входа в систему перечислены в следующей таблице.

Тип входа в систему - Название типа входа - Описание
2 - Интерактивный - Успешный вход пользователя на компьютер.
3 - Сеть - Пользователь или компьютер вошли на данный компьютер через сеть.
4 - Пакетный - Пакетный тип входа используется пакетными серверами, исполнение процессов на которых производится по поручению пользователя, но без его прямого вмешательства.
5 - Служба - Служба запущена Service Control Manager.
7 - Разблокирование - Эта рабочая станция разблокирована.
8 - NetworkCleartext - Пользователь вошел на данный компьютер через сеть. Пароль пользователя передан в пакет проверки подлинности в его нехешированной форме. Встроенная проверка подлинности упаковывает все хешированные учетные записи перед их отправкой через сеть. Учетные данные не передаются через сеть открытым текстом.
9 - NewCredentials - Посетитель клонировал свой текущий маркер и указал новые учетные записи для исходящих соединений. Новый сеанс входа в систему имеет ту же самую локальную тождественность, но использует отличающиеся учетные записи для сетевых соединений.
10 - RemoteInteractive - Пользователь выполнил удаленный вход на этот компьютер, используя Terminal Services или Remote Desktop.
11 - CachedInteractive - Пользователь вошел на этот компьютер с сетевыми учетными данными, которые хранились локально на компьютере. Контроллер домена не использовался для проверки учетных данных.

Дополнительные сведения (на английском языке) см. в разделео событиях безопасности на веб-узле Microsoft Windows Resource Kits.

Дополнительные сведения

Политика аудита 

Советы и рекомендации по аудиту

Средства управления настройкой безопасности 

Оригинал статьи


Alexander A. Manaeff©

Понравилась статья? Будем крайне признательны за репосты в соцсетях! Материально поддержать проект можно здесь

Мои странички:
ВКонтакте
Одноклассники
Youtube
Facebook
Instagram

Изображение
Изображение
Изображение
Изображение