Pod Windows 2008:
Panel sterowania - >Zobacz dzienniki zdarzeń - > Podgląd zdarzeń (lokalny) - >Logi Windows - > Bezpieczeństwo, lista po prawej pokaże wszystkie informacje o bezpieczeństwie, a potem możesz je znaleźćIdentyfikator zdarzenia to 4776Po kliknięciu na nią "Source Workstation:" pojawia się nazwa hosta klienta Windows, który loguje się do maszyny.
Poza tym:
Windows2003
Miejsce, gdzie można zobaczyć zdalne logi logowania, jest zasadniczo podobne do tego powyżej, aleID zdarzenia nie jest takie samo jak w Windows 2008,Windows 2003 to ID zdarzenia widoku to 528Adres IP po "Source Network Address" to adres IP klienta Windows, który loguje się do maszyny.
Typowe identyfikatory zdarzeń Windows są następujące
Dostęp do usług katalogu audytu
4934 - Właściwości obiektów Active Directory są kopiowane
4935 - Kopiowanie nie uruchamia się
4936 - Replikacja nie zakończyła się
5136 - Obiekt usługi katalogowej został zmodyfikowany
5137 - Utworzono obiekt usługi katalogowej
5138 - Obiekt usługi katalogowej został usunięty
5139 - Obiekt usługi katalogu został przeniesiony
5141 - Usunięto obiekt usługi katalogowej
4932 - Rozpoczęto synchronizację replik AD dla kontekstu nazwanego
4933 - Zakończyła się synchronizacja kopiowania AD dla kontekstu nazwanego
Zdarzenia logowania audytowego
4634 - Konto zostaje anulowane
4647 - Użytkownik inicjuje wylogowanie
4624 - Konto zostało pomyślnie zalogowane
4625 - Logowanie do konta nie udało się
4648 - Próba zalogowania się za pomocą jawnych danych uwierzytelniających
4675 - SID jest filtrowany
4649 - Znaleziono ataki powtórne
4778 - Sesja została ponownie połączona ze stacją Window
4779 - Sesja rozłącza się ze stacją Window
4800 – Stacja robocza zablokowana
4801 - Stacja robocza odblokowana
4802 - Wyłącznik ekranu włączony
4803 - Wygaszacz ekranu jest wyłączony
Przedstawiciel certyfikatów wymagany przez 5378 nie jest dozwolony przez politykę
5632 Wymaga weryfikacji sieci bezprzewodowych
5633 Wymaga weryfikacji sieci przewodowych
Dostęp do obiektów audytowych
5140 - Dostęp do obiektu współdzielenia sieci jest
4664 - Próba utworzenia twardego linku
4985 - Status transakcji się zmienił
5051 - Plik został zwirtualizowany
5031 - Usługa zapory Windows uniemożliwia aplikacji odbieranie połączeń przychodzących z sieci
4698 - Utworzono zaplanowane zadanie
4699 - Usunięto zaplanowane zadanie
4700 - Zadania zaplanowane są włączone
4701 - Zadanie zaplanowane zostaje dezaktywowane
4702 - Zaktualizowane zadania zaplanowane
4657 - Wartości rejestru są modyfikowane
5039 - Klucze rejestru są zwirtualizowane
4660 - Usunięty obiekt
4663 - Próba dostępu do obiektu
Zmiany w polityce audytu
4715 - Polityka audytu (SACL) dla obiektu została zmieniona
4719 - Zmieniona polityka audytu systemu
4902 - Utworzono formularz polityki audytu dla użytkownika
4906 - Wartość CrashOnAuditFail została zmieniona
4907 - Ustawienia audytu dla obiektu zostały zmienione
4706 - Nowy fundusz powierniczy utworzony dla domeny
4707 - Zaufanie do domeny zostało usunięte
4713 - Polityka dotycząca Kerberos się zmieniła
4716 - Informacje o domenie zaufania zostały zmodyfikowane
4717 - Konto Przyznane do System Secure Access
4718 - Dostęp do bezpieczeństwa systemu zostaje usunięty z konta
4864 – Kolizje przestrzeni nazw zostały usunięte
4865 - Dodano wpis informacji o lesie Trust
4866 - Wpis o zaufanych informacjach o lesie usunięty
4867 - Wpis informacji o lesie Trust anulowany
4704 - Przypisane uprawnienia użytkownika
4705 - Uprawnienia użytkownika zostały usunięte
4714 - Polityka odzyskiwania danych szyfrowanych – anulowana
4944 - Następująca polityka jest włączona, gdy zapora Windows jest włączona
4945 - Uwzględnij regułę przy włączeniu zapory Windows
4946 - Modyfikacja listy wyjątków zapory Windows w celu dodania reguł
4947 - Lista wyjątków zapory Windows zmodyfikowana przez modyfikację reguły
4948 - Lista wyjątków zapory Windows zmodyfikowana z usuniętą regułą
4949 - Ustawienia zapory Windows zostały przywrócone do domyślnego ustawienia
4950 - Ustawienia zapory Windows zostały zmienione
4951 - Reguła została zignorowana, ponieważ główny numer wersji nie jest rozpoznawany przez zaporę Windows
4952 - Ponieważ główny numer wersji nie jest rozpoznawany przez zaporę Windows, niektóre zasady zostały zignorowane, a pozostałe reguły będą egzekwowane
4953 - Zasady są ignorowane, ponieważ zapora Windows nie jest w stanie rozwiązać reguł
4954 - Ustawienia grupowych polityk zapory Windows zostały zmienione i będą korzystać z nowych ustawień
4956 - Zapora Windows zmieniła aktywne profile
4957 - Zapora Windows nie dotyczy następujących reguł
4958 - Ponieważ wpisy zawarte w tej zasadzie nie są skonfigurowane, następujące reguły nie będą miały zastosowania do zapory Windows:
6144 - Polityka bezpieczeństwa w obiekcie Polityki Grupy została pomyślnie egzekwowana
6145 - Podczas przetwarzania polityki bezpieczeństwa w obiekcie polityki grupowej występuje jeden lub więcej błędów
4670 - Uprawnienia do obiektu zostały zmienione
Użycie uprawnień audytowych
4672 - Przypisanie uprawnień do nowych logowań
4673 - Zapytanie o usługi uprzywilejowane
4674 - Próba wykonania operacji na obiekcie uprzywilejowanym
Zdarzenia systemu audytu
5024 - Usługa Windows Firewall została pomyślnie uruchomiona
5025 - Usługi zapory Windows zostały wstrzymane
5027 - Usługa Windows Firewall nie jest w stanie pobrać polityk bezpieczeństwa z lokalnego magazynu i będzie nadal egzekwować obecną politykę
5028 - Nowa polityka bezpieczeństwa, której usługa Windows Firewall nie jest w stanie rozwiązać i będzie nadal egzekwować obecną politykę
5029 - Usługa Firewall Windows nie inicjalizuje sterowników, które będą nadal egzekwować aktualną politykę
5030 - Usługa zapory Windows nie uruchamia się
5032 - Zapora Windows nie powiadamia użytkownika, że blokuje aplikację otrzymującą połączenie przychodzące
5033 - Sterownik zapory Windows uruchomiony pomyślnie
5034 - sterownik zapory Windows został zatrzymany
5035 - Sterownik zapory Windows nie uruchamia się
5037 - Sterownik zapory Windows wykrywa krytyczny błąd uruchamiania i kończy się.
4608 - Windows się uruchamia
4609 - Windows się wyłącza
4616 - Czas systemowy zostaje zmieniony
4621 - Administrator odzyskuje system z CrashOnAuditFail, użytkownicy niebędący administratorami mogą się teraz zalogować, niektóre działania audytowe mogą nie być rejestrowane
4697 - Instalacja serwera w systemie
4618 - Wzorzec zdarzeń bezpieczeństwa monitorujących.
|
Opublikowano 07.05.2018 15:44:05
|
|
|
|
Opublikowano 08.05.2018 11:39:53
|
