none
Аудит входа в систему Windows RRS feed

  • Вопрос

  • Добрый день!

    Возникли вопросы по аудиту входа в Windows.

    Имеем домен, при проверке журнала событий Windows->Безопасность при фильтре текущего журнала (код события 4624) отображается не только вход в систему на локальном компьютере, но и на некоторых других компьютерах домена

    Вход в учетную запись выполнен успешно.

    Субъект:
    ИД безопасности: NULL SID
    Имя учетной записи: -
    Домен учетной записи: -
    ИД входа: 0x0

    Сведения о входе:
    Тип входа: 3
    Ограниченный режим администрирования: -
    Виртуальная учетная запись: Нет
    Расширенный маркер: Нет

    Уровень олицетворения: Олицетворение

    Новый вход:
    ИД безопасности: Имя удалённого компьютера
    Имя учетной записи: Имя доменной учётной записи
    Домен учетной записи: Домен
    ИД входа: 0xF45EFEB
    Связанный ИД входа: 0x0
    Сетевое имя учетной записи: -
    Сетевой домен учетной записи: -
    GUID входа: {ddb449d2-6cf4-17ba-dc5e-64df51019a03}

    Сведения о процессе:
    ИД процесса: 0x0
    Имя процесса: -

    Сведения о сети:
    Имя рабочей станции: -
    Сетевой адрес источника: IP-адрес удалённого компьютера
    Порт источника: 3424

    Подробные сведения о проверке подлинности:
    Процесс входа: Kerberos
    Пакет проверки подлинности: Kerberos
    Промежуточные службы: -
    Имя пакета (только NTLM): -
    Длина ключа: 0

    Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ.

    Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

    В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

    Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход.

    В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

    Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа.

    Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
    - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
    - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
    - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
    - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.

    11 апреля 2019 г. 6:59

Все ответы

  • Добрый день!

    Возникли вопросы по аудиту входа в Windows.


    в вашем утверждении нет ниединого вопроса...

    The opinion expressed by me is not an official position of Microsoft


    11 апреля 2019 г. 7:17
    Модератор
  • Вопрос в следующем:

    Отчего события входа удалённого компьютера отображаются на локальном?

    Как сделать так чтобы отображались лишь те события входа, которые относятся к локальному компьютеру?

    11 апреля 2019 г. 7:21
  • Вопрос в следующем:

    Отчего события входа удалённого компьютера отображаются на локальном?

    Как сделать так чтобы отображались лишь те события входа, которые относятся к локальному компьютеру?

    у вас написано в событи что тип входа 3 (сетевой) и при этом регистрируется откуда пришел запрос на вход на текущую машину

    The opinion expressed by me is not an official position of Microsoft

    • Предложено в качестве ответа Vector BCOModerator 3 июня 2019 г. 6:47
    11 апреля 2019 г. 7:25
    Модератор
  • Да, действительно тип входа 3

    Сетевой адрес источника здесь - это удалённый компьютер на котором осуществляется вход другого пользователя.

    Зачем мне знать на моём компьютере, кто вошёл на удалённый?

    К моему никто не подключается в это время.

    11 апреля 2019 г. 7:32