Pod Windows 2008:
Ovládací panel - >Zobrazit záznamy událostí - > Prohlížeč událostí (lokální) - >Windows logy - > Bezpečnost, seznam vpravo zobrazí všechny bezpečnostní informace a pak je najdeteIdentifikace incidentu je 4776Po kliknutí na něj následuje "Source Workstation:" název hostitele Windows klienta, který se přihlašuje do stroje.
Jinak:
Windows2003
Místo, kde lze zobrazit vzdálené logy přihlášení, je v podstatě podobné tomu výše, aleID události není stejné jako ve Windows 2008,Windows 2003 je ID události zobrazení 528IP adresa po "Source Network Address" je IP adresa Windows klienta, který se přihlašuje do stroje.
Běžné Windows ID událostí jsou následující
Přístup k službám auditního adresáře
4934 - Vlastnosti objektů Active Directory jsou kopírovány
4935 - Kopírování se nepodařilo spustit
4936 - Replikace neskončila
5136 - Objekt adresářové služby byl upraven
5137 - Byl vytvořen objekt adresářové služby
5138 - Objekt adresářové služby byl smazán
5139 - Objekt adresářové služby byl přesunut
5141 - Adresářový servisní objekt smazán
4932 - Začala replika synchronizace AD pro pojmenovaný kontext
4933 - Synchronizace kopírování AD pro pojmenovaný kontext skončila
Události auditu přihlášení
4634 - Účet je zrušen
4647 - Uživatel zahajuje odhlášení
4624 - Účet byl úspěšně přihlášen
4625 - Přihlášení k účtu selhalo
4648 - Pokus o přihlášení s explicitními přihlašovacími údaji
4675 - SID je filtrován
4649 - Nalezeny útoky na opakování
4778 - Relace je znovu připojena k Window Station
4779 - Relace se odpojuje od Window Station
4800 – Pracovní stanice je zamčena
4801 - Pracovní stanice je odemčena.
4802 - Spořič obrazovky zapnut
4803 - Spořič obrazovky je deaktivován
Certifikátový zástupce požadovaný podle 5378 není podle politiky povolen
5632 vyžaduje ověření bezdrátových sítí
5633 Vyžaduje ověření drátových sítí
Auditní přístup k objektům
5140 - Je přístupen objekt síťového sdílení
4664 - Pokus o vytvoření pevného odkazu
4985 - Stav transakce se změnil
5051 - Soubor byl virtualizován
5031 - Windows Firewall Service zabraňuje aplikaci přijímat příchozí spojení ze sítě
4698 - Byl vytvořen plánovaný úkol
4699 - Plánovaný úkol smazán
4700 - Plánované úkoly jsou povoleny
4701 - Plánovaná úloha je deaktivována
4702 - Aktualizované plánované úkoly
4657 - Hodnoty registru jsou upraveny
5039 - Klíče registru jsou virtualizovány
4660 - Objekt smazán
4663 - Pokus o přístup k objektu
Změny v auditorské politice
4715 - Audit Policy (SACL) u objektu se změnila
4719 - Změna politiky systémového auditu
4902 - Byl vytvořen formulář auditní politiky pro uživatele
4906 - Hodnota CrashOnAuditFail se změnila
4907 - Nastavení auditu pro objekt byla změněna
4706 - Nový trust vytvořen pro doménu
4707 - Důvěra k doméně byla odebrána
4713 - Politika vůči Kerberosu se změnila
4716 - Důvěryhodné informace domény byly upraveny
4717 - Udělený účet k zabezpečenému přístupu systému
4718 - Přístup k bezpečnosti systému je odebrán z účtu
4864 – Kolize jmenných prostorů byly odstraněny
4865 - Přidán záznam o informacích o lesích Trust
4866 - Záznam o důvěryhodných lesních informacích smazán
4867 - Záznam o informacích o Trust Forest zrušen
4704 - Přiřazena uživatelská oprávnění
4705 - Uživatelská oprávnění byla odebrána
4714 - Zrušena politika obnovy šifrovaných dat
4944 - Následující politika je povolena, když je zapnutý Windows Firewall
4945 - Zahrnout pravidlo při zapnutí Windows Firewallu
4946 - Úprava seznamu výjimek Windows firewallu pro přidání pravidel
4947 - Seznam výjimek Windows Firewallu upraven úpravou pravidel
4948 - Seznam výjimek Windows Firewall upraven a pravidlo odstraněno
4949 - Nastavení Windows Firewall bylo obnoveno na výchozí
4950 - Nastavení Windows Firewall bylo změněno
4951 - Pravidlo bylo ignorováno, protože hlavní číslo verze není rozpoznáno Windows Firewallem
4952 - Protože hlavní číslo verze není rozpoznáno Windows Firewallem, některá pravidla byla ignorována a zbytek pravidel bude vynucován
4953 - Pravidla jsou ignorována, protože Windows Firewall nedokáže pravidla vyřešit
4954 - Nastavení skupinových politik Windows Firewall bylo změněno a budou používat nová nastavení
4956 - Windows firewall změnil aktivní profily
4957 - Windows Firewall se nevztahuje na následující pravidla
4958 - Protože položky v tomto pravidle nejsou konfigurovány, následující pravidla se na Windows Firewall nevztahují:
6144 - Bezpečnostní politika v objektu skupinové politiky byla úspěšně vynucena
6145 - Při zpracování bezpečnostní politiky v objektu skupinové politiky dochází k jedné nebo více chybám
4670 - Oprávnění na objektu byla změněna
Využití auditních oprávnění
4672 - Přidělit oprávnění novým přihlašovacím údajům
4673 - Žádost o privilegované služby
4674 - Pokus o operaci na privilegovaném objektu
Události auditního systému
5024 - Služba Windows Firewall byla úspěšně spuštěna
5025 - Služby Windows firewallu byly zastaveny
5027 - Služba Windows Firewall není schopna získat bezpečnostní politiky z lokálního úložiště a služba bude nadále vynucovat stávající politiku
5028 - Nová bezpečnostní politika, kterou služba Windows Firewall nedokáže vyřešit a bude nadále vynucovat stávající politiku
5029 - Služba Windows Firewall selhává v inicializaci ovladačů, které budou nadále vynucovat současnou politiku
5030 - Služba Windows Firewall selhala při spuštění
5032 - Windows firewall neupozorní uživatele, že blokuje aplikaci, která přijímá příchozí spojení
5033 - Ovladač Windows Firewallu byl úspěšně spuštěn
5034 - Ovladač Windows Firewallu se zastavil
5035 - Ovladač Windows Firewallu selhal
5037 - Ovladač Windows firewallu detekuje kritickou chybu při běhu, ukončí provoz.
4608 - Windows se spouští
4609 - Windows se vypíná
4616 - Systémový čas je změněn
4621 - Administrátor obnovuje systém z CrashOnAuditFail, uživatelé bez administrátorů se nyní mohou přihlásit, některé auditní aktivity nemusí být zaznamenány
4697 - Instalace serveru do systému
4618 - Došlo k vzoru bezpečnostní události monitorování
|
Zveřejněno 07.05.2018 15:44:05
|
|
|
|
Zveřejněno 08.05.2018 11:39:53
|
