Unter Windows 2008:
Kontrollpanel – >Ereignisprotokolle anzeigen – > Ereignisanzeiger (Lokal) – >Windows-Protokolle – > Sicherheit, zeigt die Liste rechts alle Sicherheitsinformationen an, und dann kannst du sie findenDie Vorfall-ID ist 4776Nach dem Anklicken folgt der Hostname des Windows-Clients, der sich auf die Maschine einloggt.
Abgesehen davon:
windows2003
Der Ort, um die Remote-Login-Protokolle einzusehen, ist im Grunde ähnlich wie oben beschrieben, aberDie Ereignis-ID ist nicht dieselbe wie in Windows 2008,Windows 2003 ist die View-Event-ID 528Die IP-Adresse nach "Quellnetzwerkadresse" ist die IP-Adresse des Windows-Clients, der sich auf dem Rechner anmeldet.
Die gängigen Windows-Ereignis-IDs sind wie folgt
Zugriff auf Audit-Verzeichnisdienste
4934 - Eigenschaften von Active Directory-Objekten werden kopiert
4935 – Kopieren startet nicht
4936 – Die Replikation endete nicht
5136 – Das Verzeichnisdienstobjekt wurde geändert
5137 – Das Verzeichnisdienstobjekt wurde erstellt
5138 - Das Verzeichnisdienstobjekt wurde gelöscht
5139 – Das Verzeichnisdienstobjekt wurde verschoben
5141 - Verzeichnisdienstobjekt gelöscht
4932 - Die Replika-Synchronisation von AD für benannten Kontext hat begonnen
4933 - Die Kopiersynchronisation von AD für benannten Kontext ist beendet
Audit-Anmeldeereignisse
4634 – Konto wird gekündigt
4647 – Benutzer initiiert das Ausloggen
4624 – Das Konto wurde erfolgreich eingeloggt
4625 – Konto-Login fehlgeschlagen
4648 – Versuch, sich mit expliziten Zugangsdaten anzumelden
4675 – SID wird gefiltert
4649 – Wiederholungsangriffe gefunden
4778 – Die Sitzung wird wieder mit der Window Station verbunden
4779 – Session trennt sich von der Window Station
4800 – Arbeitsstation ist gesperrt
4801 – Arbeitsstation ist entsperrt
4802 – Bildschirmschoner aktiviert
4803 – Bildschirmschoner ist deaktiviert
Der von 5378 geforderte Zertifikatsvertreter ist laut Richtlinie nicht erlaubt
5632 Erfordert eine Validierung drahtloser Netzwerke
5633 erfordert eine Validierung von kabelgebundenen Netzen
Audit-Objektzugriff
5140 – Ein Netzwerk-Share-Objekt wird genutzt
4664 – Versuch, eine feste Verbindung herzustellen
4985 - Der Transaktionsstatus hat sich geändert
5051 – Die Datei wurde virtualisiert
5031 – Windows Firewall Service verhindert, dass eine Anwendung eingehende Verbindungen aus dem Netzwerk empfängt
4698 – Eine geplante Aufgabe wurde erstellt
4699 - Geplante Aufgabe gelöscht
4700 – Geplante Aufgaben sind aktiviert
4701 – Geplante Aufgabe wird deaktiviert
4702 – Aktualisierte geplante Aufgaben
4657 – Registerwerte werden geändert
5039 – Registrierungsschlüssel werden virtualisiert
4660 - Objekt gelöscht
4663 – Versuch, auf ein Objekt zuzugreifen
Änderungen der Prüfungsrichtlinien
4715 - Die Audit-Richtlinie (SACL) eines Objekts hat sich geändert
4719 - Systemprüfungsrichtlinie geändert
4902 – Das Formular zur Kontrollrichtlinie pro Benutzer wurde erstellt
4906 - CrashOnAuditFail-Wert hat sich geändert
4907 - Audit-Einstellungen für ein Objekt wurden geändert
4706 - Neuer Trust für eine Domain geschaffen
4707 – Der Trust zu einer Domain wurde entfernt
4713 – Die Kerberos-Politik hat sich geändert
4716 - Die Treuhanddomäneninformationen wurden geändert
4717 - System Secure Access Gewährtes Konto
4718 – Systemsicherheitszugriff wird vom Konto entfernt
4864 – Namensraum-Kollisionen wurden entfernt
4865 - Trust Forest Informationseintrag hinzugefügt
4866 - Vertrauenswürdiger Forstinformationseintrag gelöscht
4867 - Trust Forest Informationseintrag storniert
4704 - Benutzerberechtigungen zugewiesen
4705 - Benutzerrechte wurden entfernt
4714 - Verschlüsselte Datenwiederherstellungsrichtlinie aufgehoben
4944 – Die folgende Richtlinie ist aktiviert, wenn die Windows-Firewall aktiviert ist
4945 – Fügen Sie eine Regel hinzu, wenn die Windows-Firewall aktiviert ist
4946 – Änderung der Windows-Firewall-Ausnahmeliste zur Hinzufügen von Regeln
4947 - Windows-Firewall-Ausnahmeliste mit Regeländerung modifiziert
4948 - Die Ausnahmeliste der Windows-Firewall wurde geändert und die Regel wurde entfernt.
4949 – Die Windows-Firewall-Einstellungen wurden auf den Standard zurückgesetzt
4950 - Die Windows-Firewall-Einstellungen wurden geändert
4951 – Die Regel wurde ignoriert, da die Hauptversionsnummer von der Windows-Firewall nicht erkannt wird
4952 – Da die Hauptversionsnummer von der Windows-Firewall nicht erkannt wird, wurden einige Regeln ignoriert und die übrigen Regeln werden durchgesetzt
4953 – Regeln werden ignoriert, weil die Windows-Firewall keine Regeln auflösen kann
4954 - Die Gruppenrichtlinien der Windows-Firewall wurden geändert und verwenden die neuen Einstellungen
4956 – Die Windows-Firewall hat aktive Profile geändert
4957 - Windows-Firewall gilt nicht für die folgenden Regeln
4958 - Da die Einträge dieser Regel nicht konfiguriert sind, gelten die folgenden Regeln nicht für die Windows-Firewall:
6144 - Sicherheitsrichtlinie im Gruppenrichtlinienobjekt wurde erfolgreich durchgesetzt
6145 – Ein oder mehrere Fehler treten bei der Verarbeitung einer Sicherheitsrichtlinie in einem Gruppenrichtlinienobjekt auf
4670 – Die Berechtigungen für ein Objekt wurden geändert
Nutzung von Prüfungsprivilegien
4672 – Berechtigungen neuen Logins zuweisen
4673 - Anfrage für privilegierte Dienste
4674 – Versuch, eine Operation an einem privilegierten Objekt durchzuführen
Prüfungssystem-Ereignisse
5024 – Der Windows-Firewall-Dienst wurde erfolgreich gestartet
5025 – Windows-Firewall-Dienste wurden eingestellt
5027 – Der Windows-Firewall-Dienst kann keine Sicherheitsrichtlinien aus dem lokalen Speicher abrufen, und der Dienst setzt die aktuelle Richtlinie weiterhin durch
5028 – Eine neue Sicherheitsrichtlinie, die der Windows-Firewall-Dienst nicht lösen kann und die aktuelle Richtlinie weiterhin durchsetzt
5029 – Der Windows-Firewall-Dienst initialisiert die Treiber nicht, wodurch die aktuelle Richtlinie weiterhin durchgesetzt wird
5030 – Windows-Firewall-Dienst startet nicht
5032 – Die Windows-Firewall benachrichtigt den Benutzer nicht darüber, dass sie eine Anwendung blockiert, die eine eingehende Verbindung empfängt
5033 – Windows-Firewall-Treiber erfolgreich gestartet
5034 – Der Windows-Firewall-Treiber wurde eingestellt
5035 – Windows-Firewall-Treiber startet nicht
5037 – Windows-Firewall-Treiber erkennt einen kritischen Lauffehler und beendet sich.
4608 – Windows startet
4609 – Windows fährt herunter
4616 – Systemzeit wird verändert
4621 – Administrator holt das System von CrashOnAuditFail zurück, Nicht-Admin-Nutzer können sich jetzt anmelden, einige Auditaktivitäten werden möglicherweise nicht protokolliert
4697 – Installation eines Servers im System
4618 - Überwachungsmuster für Sicherheitsereignisse ist aufgetreten
|
Veröffentlicht am 07.05.2018 15:44:05
|
|
|
|
Veröffentlicht am 08.05.2018 11:39:53
|
