Аудит событий входа в систему

Область применения

Определяет, нужно ли проводить аудит каждого экземпляра пользователя, который входит в систему или выходит из него с устройства.

События входа в учетную запись создаются на контроллерах домена для работы с учетной записью домена и на локальных устройствах для локальных действий с учетными записями. Если включены обе категории политики аудита входа и входа в систему, при входе в систему с учетной записью домена генерируется событие входа в систему или выхода из нее на компьютере или сервере, которое создает событие входа в учетную запись на контроллере домена. Кроме того, интерактивный вход на рядовой сервер или рабочую станцию, использующую учетную запись домена, создает событие входа в систему на контроллере домена, так как сценарии входа и политики извлекаются при входе пользователя в систему. Дополнительные сведения о событиях входа в учетную запись можно найти в статье Аудит событий входа в систему.

Если вы определяете этот параметр политики, вы можете указать, следует ли проводить аудит успехов, аудит отказов или вообще не проводить аудит для типа события. Аудит успехов приводит к созданию записи аудита при успешном попытке входа. Аудит отказов приводит к созданию записи аудита при неудачной попытке входа.

Чтобы отключить аудит, в диалоговом окне свойства для этого параметра политики установите флажок определить следующие параметры политики и снимите флажки успех и отказ .

Дополнительные сведения о параметрах политики безопасности для входа в систему можно найти в разделе Вход в систему и выход из нее на странице Дополнительные параметры политики аудита безопасности.

Настройка этого параметра аудита

Вы можете настроить этот параметр безопасности, открыв соответствующую политику в разделе Computer Конфигуратионвиндовс Сеттингссекурити Сеттингслокал ПолиЦиесаудит.

События входа Описание
528 Пользователь успешно вошел в систему на компьютере. Сведения о типе входа можно найти в таблице Типы входа ниже.
529 Ошибка входа. Попытка входа была выполнена с неизвестным именем пользователя или известным именем пользователя с неправильным паролем.
530 Ошибка входа. Попытка входа учетной записи пользователя в систему за пределами допустимого времени.
531 Ошибка входа. Попытка входа была выполнена с помощью отключенной учетной записи.
532 Ошибка входа. Попытка входа была выполнена с помощью просроченной учетной записи.
533 Ошибка входа. Попытка входа была предпринята пользователем, который не может войти на этот компьютер.
534 Ошибка входа. Пользователь попытался войти в систему с недопустимым типом.
535 Ошибка входа. Срок действия пароля для указанной учетной записи истек.
536 Ошибка входа. Служба сетевого входа в систему неактивна.
537 Ошибка входа. Попытка входа завершилась сбоем по другим причинам.
538 Процесс выхода для пользователя завершен.
539 Ошибка входа. Учетная запись была заблокирована на момент, когда была выполнена попытка входа.
540 Пользователь успешно вошел в сеть.
541 Проверка подлинности IKE основного режима выполнена между локальным компьютером и указанным идентификатором однорангового узла (установление сопоставления безопасности), или быстрый режим установил канал данных.
542 Канал данных прерван.
543 Главный режим завершен.
544 Не удалось выполнить проверку подлинности основного режима, так как узел не предоставил действительный сертификат или подпись не была проверена.
545 Не удалось выполнить проверку подлинности основного режима из-за сбоя Kerberos или недопустимого пароля.
546 Не удалось установить сопоставление безопасности IKE из-за того, что одноранговый элемент отправил недействительное предложение. Получен пакет, содержащий недопустимые данные.
547 В ходе подтверждения IKE произошла ошибка.
548 Ошибка входа. Идентификатор безопасности (SID) из доверенного домена не совпадает с SID домена учетной записи клиента.
549 Ошибка входа. Все идентификаторы безопасности, соответствующие недоверенным пространствам имен, были отфильтрованы во время проверки подлинности в лесах.
550 Сообщение с уведомлением о возможной атаке на службу.
551 Пользователь инициировал процесс выхода из системы.
552 Пользователь успешно вошел на компьютер с помощью явных учетных данных, но уже вошел в систему как другой пользователь.
682 Пользователь повторно подключен к отключенному сеансу сервера терминалов.
683 Пользователь отключил сеанс сервера терминалов, не выходя из системы.
Читайте также:  Как вернуть вкладки в автокаде

Когда регистрируется событие 528, в журнале событий также указывается тип входа в систему. В таблице ниже описаны все типы входов.

Лабораторно-практическая работа № 4

1. Теоретическая часть: Получение информации о процессах,
происходящих в системе

Аудит событий. Настройка аудита событий

Практически все события системы, отражающие процессы, происходящие на уровне ядра ОС и выше и представляющие интерес для пользователя лю­бого уровня, могут быть определены и сохранены в файле благодаря специ­альному механизму Windows XP, называемому аудитом системы. Просмотр сохраненных событий осуществляется специальной программой Просмотр событий.

Этот механизм является очень гибким в настройке и позволяет вести аудит различных событий, происходящих в системе, как по их классу принадлеж­ности, так и по тому, удачно или неудачно было завершено событие. Напри­мер, можно заставить систему контролировать все успешные попытки пользователей и приложений получения доступа к реестру. Или можно контролировать все попытки входа пользователей в систему, которые закончились неудачно.

Настройки аудита локальной системы находятся в программе Локальная политика безопасности (Local Security Settings):

ПускВсе программыПанель управленияАдминистрирование Локальная политика безопасности

Для настройки аудита событий следует:

запустить программу Локальная политика безопасности;

— выбрать пункт Локальные политики (рис.1.1.);

— выбирать пункт Политика аудита;

— появятся настройки поли­тики аудита (рис.1.2.).

Рисунок 1.1. Окно программы Локальные параметры безопасности

Рисунок 1.2. Окно настройки аудита

Настройки аудита событий представ­ляют собой список контролируемых событий, а также признак того, когда будет осуществляться запись этого события: при его успешном исходе, отка­зе или в обоих случаях. Факт успешности завершения события определяется по его коду завершения, существующему внутри системы. Для определения того, когда будет происходить запись того или иного события, определенного соответствующей строкой списка поли­тики аудита, следует по ней сделать двойной щелчок мышью, после чего на экране появится окно настройки политики аудита (рис.1.3).

Рисунок 1.3. Диалоговое окно ввода значений опций,

определяющих, когда будет производиться аудит определенного события

Данное окно позволяет пользователю выбрать вид аудита события для просмотра: при успешном завершении события, в случае его сбоя или в любом случае, настройки достигаются установкой флажка в соответствующих режимах: Успех, Отказ или в обоих режимах. Каждая из политик аудита обладает своими характерными особенностями:

1.Политика аудита Аудит событий входа в систему ответственна за запись событий, генерируемых операционной системой при входе и выходе пользователей на других сетевых компьютерах, при условии, что данный компьютер используется для проверки подлинности учетной записи. При установке опции Успех, будет производиться запись событий, в ре­зультате которых пользователи успешно вошли в систему, в случае уста­новки опции Отказ, будет производиться запись событий, в результате которых пользователи не смогли войти в систему. В случае установки обеих опций будет производиться запись всех попыток входа пользователей в систему, как удачных, так и нет.

В больших системах используется полное протоколирование входа пользователей в систему, которое достигается установкой обоих опций. Для небольших организаций и до­машних систем достаточно вести протоколирование входа пользова­телей только по критерию Отказ, чтобы всегда можно было обнаружить случаи подбора паролей или попытки вторжения взломщиков, которые не увенчались успехом, и принять соответствующие меры. Так же будет получена информация о возможном источнике про­блеем и пользователях, которые постоянно забывают свой пароль, и, вероятно, пытаются его где-то записывать.

Читайте также:  Убрать пароль файловая 1с

2.Политика аудита Аудит управления учетными записями ответственна за запись событий, возникающих при работе с учетными записями пользователей: создание, изменение или удаление группы пользователей; переименование учетной записи пользователя, ее выключение, включение; установка иди смена пароля. Во всех случаях системой, в соответствии с установ­ленными опциями Успех и Отказ будет производить­ся запись событий. Рекомендуется поставить политику на запись события в случае неудачного завершения операции доступа к объектам этой службы, что предохранит от возможных атак, которые могут проводиться в се­тевых структурах.

3.Политика аудита Аудит доступа к службе каталогов ответственна за протоко­лирование доступа к объектам службы Active Directory, которая представляет собой, специальную сетевую файловую систему, элементами которой могут быть не только файлы и папки. Рекомендуется ее поставить на запись события в случае неудачного завершения операции доступа к объектам этой службы, что предохранит от возможных атак, которые могут проводиться в се­тевых структурах.

4.Политика аудита Аудит входа в систему ответственна за запись событий, генерируемых операционной системой при входе и выходе пользо­вателей на данном компьютере. При установке опции Успех бу­дет производиться запись событий, в результате которых пользователи ус­пешно вошли в систему. В случае установки опции Отказ будет про­изводиться запись событий, в результате которых пользователи по каким-либо причинам не смогли войти в систему. В случае установки обеих опций можно производить запись всех попыток входа пользователей.

5.Политики аудита Аудит доступа к объектам и Аудит изменения политики от­ветственны, соответственно, за аудит доступа к различным объектам систе­мы, которые контролируются с помощью прав доступа, и за аудит работ с правами пользователей и политики аудита. В большинстве случаев достаточно будет производить аудит по отказу для этих двух собы­тий. Данные записи могут пригодиться в случае, если в системе будет происходить что-то странное и необходимо выяснить причины возникших ситуаций.

6.Политика аудита Аудит использований привилегий производит запись событий, в случае использования пользователями специфических системных привиле­гий. Рекомендуется установить ее на запись событий в случае отказа для их получения пользователям. Данная информация может помочь специалистам по компьютерной безопасности в выяснении того, что произошло с систе­мой.

7.Политика аудита Аудит отслеживания процессов позволяет вести аудит по таким событиями процесса, как запуск программы, выход из нее, а также другим важным системным событиям. Установка аудита данных событий по отказу может помочь понять, что происходит в системе и, возможно, где ей требуется помощь.

8.Политика аудита Аудит системных событий позво­ляет проводить аудит таких системных событий как перезагрузка или выключение компьютера, а также других важных сообщений, касающихся безопасности системы. Рекомендуется всегда устанавливать данную политику аудита, как минимум, на запись собы­тия, в случае его отказа.

Особенности аудита системы:

1.Чем больше событий в различных ситуациях протоколируется, тем больше сообщений аудита системы будете получено, следовательно, тем больше инфор­мации будет о процессах, происходящих внутри систе­мы, инициируемые пользователями или различным программным обеспечением.

2.Чем больше сообщений системы будет получено, тем мед­леннее будет работать система и возможно слишком быстрое пе­реполнение внутреннего лога безопасности операционной системы. В резуль­тате чего придется достаточно часто производить его очистку в программе Просмотр событий.

Читайте также:  Виджет для мониторинга температуры процессора и видеокарты

Не нашли то, что искали? Воспользуйтесь поиском:

Вы никогда не задумывались о том, что если вы можете отслеживать деятельность залогиневшегося пользователя ОС Windows, то Вы так же можете и записывать информацию том, кто вошел в систему и, когда они из неё вышел? Это вполне возможно, если в системе Windows использовать функцию аудита входа. Отслеживание входа и выход пользователя очень полезно в организациях, где данные являются конфиденциальными и в ситуациях, когда Вы просто хотите узнать «кто это сделал» в вашей системе Windows. По умолчанию, функция аудита входа отключена в Windows. В этой статье, давайте посмотрим, как включить аудит авторизации и как отслеживания эти события в системе Windows.
Примечание: Аудит входа доступен только в Pro или Enterprise версий Windows 8.

Что такое Аудит входа

Аудит входа в систему — это встроенный параметр Windows, который можно найти в «Редакторе групповой локальной политики», который позволяет администратором Windows вести журнал и аудит каждого пользовательского входи и выхода на локальном компьютере или в сети. Также эта функция способна отслеживать любые неудачные попытки входа в систему. Это особенно полезно при определении и анализе любых несанкционированных подключений к Вашей машине Windows.

Включение аудита входа

Чтобы включить аудит входа в систему, мы должны настроить параметры групповой политики Windows. Нажмите сочетание клавиш “’Win + R”, введите gpedit.msc в диалоговом окне «Выполнить» и нажмите кнопку «ОК», чтобы открыть окно «Редактор локальной групповой политики».

После того, как редактор будет запущен, Перейдите в области навигации по следующему пути:

«Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита»

В открывшемся списке найдите и дважды кликните мышкой на политику «Аудит входа в систему». Пожалуйста, не путайте «Аудит входа в систему» с «Аудит событий входа в систему», так как это совершенно разных параметры.

После того, как откроется окно, выберите оба флажки «Успех» и «Отказ»’. Теперь нажмите на кнопку «Применить» и кнопку «ОК», чтобы сохранить изменения.

Вот и все, что нужно сделать. С этого момента, каждый вход и выход, а также попытки входа будут записываться в журнале событий.

Просмотр событий аудита входа в систему

Вы можете просмотреть все записи журнала входа, выхода и неудачных попыток входа в систему, в окне просмотра событий Windows. Вы можете запустить программу просмотра событий с помощью функции поиска в меню «Пуск». Если вы используете Windows 8, то Вы можете запустить то же самое окно с помощью меню сочетания клавиш «Win + X» и выбрав из меню пункт «Просмотр событий».

После того как вы запустите окно «Просмотра событий», перейдите к разделу «Журналы Windows», и выберете журнал «Безопасность».

Здесь Вы найдете все, что связанно с событиями безопасности, которые произошли в Вашей системе Windows. Если Вы дважды щелкните по ключевому слову «Аудит успеха», то Вы узнаете детальную информацию по данному событию.

Так же Вы можете фильтровать журнал событий с помощью различных параметров, нажав на кнопку «Фильтр текущего журнала…», расположенную на правой боковой панели окна «Просмотр событий».

Вот и все, что нужно сделать для того, чтобы просто отслеживать регистрацию пользователей в системе Windows.
Надеюсь, что статья была Вам интересна. Оставляйте комментарии, подписывайтесь на наши новости и оставайтесь с нами.