审核登录事件
[在商业发行之前会发生实质性修改的、与预发布产品相关的一些信息。Microsoft 不对此处提供的信息作任何明示或默示的担保。]
确定是否要审核用户登录到设备或从中注销的每个实例。
会在域控制器上针对域帐户活动以及在本地设备上针对本地帐户活动生成帐户登录事件。在启用了帐户登录和登录审核策略类别后,使用域帐户的登录会在工作站或服务器上生成一个登录或注销事件,而这些登录会在域控制器上生成一个帐户登录事件。此外,如果使用域帐户交互式登录到成员服务器或工作站,会在域控制器上生成一个登录事件,因为用户登录时会检索登录脚本和策略。有关帐户登录事件的详细信息,请参阅审核帐户登录事件。
如果定义此策略设置,可以指定是否要审核成功、审核失败,或根本不审核事件类型。在登录尝试成功时,成功审核会生成一个审核项。在登录尝试失败时,失败审核会生成一个审核项。
若要将此值设置为“无审核”,请在此策略设置的“属性”****对话框中,选中“定义这些策略设置”复选框,然后清除“成功”****和“失败”复选框。
配置此审核设置
可以通过打开“计算机配置”\“Windows 设置”\“安全设置”\“本地策略”\“审核策略”下的相应策略来配置此安全设置。
| 登录事件 | 描述 |
|---|---|
| 528 | 用户已成功登录到计算机。有关登录类型的信息,请参阅下面的登录类型表。 |
| 529 | 登录失败。尝试登录时,使用的是未知用户名或已知用户名但密码错误。 |
| 530 | 登录失败。尝试登录时,用户帐户在超过允许时间后仍试图进行登录。 |
| 531 | 登录失败。尝试登录时,使用已禁用的帐户。 |
| 532 | 登录失败。尝试登录时,使用已过期的帐户。 |
| 533 | 登录失败。尝试登录时,用户未经允许登录此计算机。 |
| 534 | 登录失败。用户尝试登录的类型未经允许。 |
| 535 | 登录失败。指定帐户的密码已过期。 |
| 536 | 登录失败。网络登录服务未处于活动状态。 |
| 537 | 登录失败。其他原因导致登录尝试失败。 |
| 538 | 用户的注销过程已完成。 |
| 539 | 登录失败。尝试登录时,帐户已锁定。 |
| 540 | 用户已成功登录到网络。 |
| 541 | 主模式 Internet 密钥交换 (IKE) 身份验证已在本地计算机和所列对等身份之间完成(建立安全关联),或者快速模式已建立数据通道。 |
| 542 | 数据通道已终止。 |
| 543 | 主模式已终止。 |
| 544 | 主模式身份验证失败,因为对等未提供有效证书,或者签名未验证。 |
| 545 | 主模式身份验证失败,因 Kerberos 失败或密码无效。 |
| 546 | IKE 安全关联建立失败,因为对等发送的建议无效。接收的数据包包含的数据无效。 |
| 547 | IKE 握手期间发生故障。 |
| 548 | 登录失败。受信任域的安全 ID (SID) 不匹配客户端的帐户域 SID。 |
| 549 | 登录失败。跨林进行身份验证期间,对应于不受信任的命名空间的所有 SID 都已筛选出来。 |
| 550 | 表明可能存在拒绝服务攻击的通知消息。 |
| 551 | 用户已启动注销过程。 |
| 552 | 在已经以其他用户身份登录的情况下,用户使用显式凭据成功登录到计算机。 |
| 682 | 用户已重新连接到断开连接的终端服务器会话。 |
| 683 | 用户在未注销的情况下断开了终端服务器会话的连接。 |
记录事件 528 后,也会在事件日志中列出登录类型。下表描述了每种登录类型。
| 登录类型 | 登录标题 | 描述 |
|---|---|---|
| 2 | 交互 | 用户已登录到此计算机。 |
| 3 | 网络 | 用户或计算机已从该网络登录到此计算机。 |
| 4 | 批处理 | 批处理登录类型由批处理服务器使用,其中无需用户直接干预即可代表用户执行这些过程。 |
| 5 | 服务 | 某个服务已通过服务控制管理器启动。 |
| 7 | 解除锁定 | 此工作站已解除锁定。 |
| 8 | NetworkCleartext | 用户已从该网络登录到此计算机。已将用户密码以未经哈希处理的形式传递给身份验证程序包。内置身份验证程序包在通过网络发送凭据之前会对所有凭据进行哈希处理。凭据不遍历纯文本(也称为明文)形式的网络。 |
| 9 | NewCredentials | 调用方已克隆其当前令牌,并已为出站连接指定新的凭据。新的登录会话具有相同的本地身份,但会针对其他网络连接使用不同的凭据。 |
| 10 | RemoteInteractive | 用户已使用终端服务或远程桌面远程登录到此计算机。 |
| 11 | CachedInteractive | 用户已使用本地存储在计算机上的网络凭据登录到此计算机。未连接到用于验证凭据的域控制器。 |