Sub Windows 2008:
Panoul de control - >Vizualizează jurnalele de evenimente - > Vizualizator de evenimente (local) - >Jurnale Windows - > Securitate, lista din dreapta va arăta toate informațiile de securitate, apoi le poți găsiID-ul incidentului este 4776După ce dau click pe el, "Source Workstation:" este urmat de numele gazdei clientului Windows care se conectează la calculator.
În afară de asta:
Windows2003
Locul unde poți vizualiza jurnalele de autentificare la distanță este practic similar cu cel de mai sus, darID-ul evenimentului nu este același ca în Windows 2008,Windows 2003 este ID-ul evenimentului de vizualizare 528Adresa IP după "Adresa de rețea sursă" este adresa IP a clientului Windows care se conectează la calculator.
ID-urile obișnuite ale evenimentelor Windows sunt următoarele
Acces la serviciul de audit pentru directorii
4934 - Proprietățile obiectelor Active Directory sunt copiate
4935 - Copierea nu pornește
4936 - Replicarea nu s-a încheiat
5136 - Obiectul serviciului de director a fost modificat
5137 - Obiectul serviciului de director a fost creat
5138 - Obiectul serviciului de director a fost șters
5139 - Obiectul serviciului de director a fost mutat
5141 - Obiect de serviciu de director șters
4932 - Sincronizarea replică a AD pentru context denumit a început
4933 - Sincronizarea copierii AD pentru context denumit s-a încheiat
Evenimente de autentificare de audit
4634 - Contul este anulat
4647 - Utilizatorul inițiază delogarea
4624 - Contul a fost conectat cu succes
4625 - Autentificare a contului eșuat
4648 - Încercare de autentificare cu acreditări explicite
4675 - SID-ul este filtrat
4649 - Atacuri de reluare găsite
4778 - Sesiunea este reconectată la Window Station
4779 - Sesiunea se deconectează de la Window Station
4800 – Stația de lucru este blocată
4801 - Stația de lucru este deblocată
4802 - Screensaver activat
4803 - Screensaver-ul este dezactivat
Reprezentantul certificatului cerut de 5378 nu este permis de politică
5632 Necesită validarea rețelelor wireless
5633 Necesită validarea rețelelor cablate
Auditarea accesului la obiecte
5140 - Un obiect de partajare a rețelei este accesat
4664 - Încercarea de a crea un hard link
4985 - Statutul tranzacției s-a schimbat
5051 - Fișierul a fost virtualizat
5031 - Serviciul de firewall Windows împiedică o aplicație să primească conexiuni de intrare din rețea
4698 - A fost creată o sarcină programată
4699 - Sarcina programată a fost ștearsă
4700 - Sarcinile programate sunt activate
4701 - Sarcina programată este dezactivată
4702 - Sarcini programate actualizate
4657 - Valorile registrului sunt modificate
5039 - Cheile de registru sunt virtualizate
4660 - Obiect șters
4663 - Încercarea de a accesa un obiect
Modificări ale politicilor de audit
4715 - Politica de Audit (SACL) asupra unui obiect s-a schimbat
4719 - Schimbarea politicii de audit al sistemului
4902 - Formularul de politică de audit per utilizator a fost creat
4906 - Valoarea CrashOnAuditFail s-a schimbat
4907 - Setările de audit pentru un obiect au fost modificate
4706 - Crearea unui nou trust pentru un domeniu
4707 - Încrederea într-un domeniu a fost eliminată
4713 - Politica Kerberos s-a schimbat
4716 - Informațiile din domeniul de încredere au fost modificate
4717 - Cont de Acces Securizat la Sistem Acordat
4718 - Accesul la securitatea sistemului este eliminat din cont
4864 – Coliziunile din spațiul de nume au fost eliminate
4865 - Introducere de informații despre Pădurile Fiduciare adăugate
4866 - Înregistrare de informații de încredere despre păduri ștearsă
4867 - Înregistrare de informații despre Pădurea Fiduciară Anulată
4704 - Permisiuni utilizator atribuite
4705 - Permisiunile utilizatorilor au fost eliminate
4714 - Politica de recuperare a datelor criptate anulată
4944 - Următoarea politică este activată atunci când Windows Firewall este activat
4945 - Include o regulă când Windows Firewall este activat
4946 - Modificare a listei de excepții a firewall-ului Windows pentru a adăuga reguli
4947 - Lista de excepții a firewall-ului Windows modificată prin modificarea regulilor
4948 - Lista de excepții Windows Firewall modificată cu regula eliminată
4949 - Setările firewall-ului Windows au fost restaurate la setările implicite
4950 - Setările firewall-ului Windows au fost modificate
4951 - Regula a fost ignorată deoarece numărul principalului de versiune nu este recunoscut de Windows Firewall
4952 - Deoarece numărul principal de versiune nu este recunoscut de Windows Firewall, unele reguli au fost ignorate, iar restul regulilor vor fi aplicate
4953 - Regulile sunt ignorate deoarece Windows Firewall nu poate rezolva reguli
4954 - Setările Firewall-ului de grup Windows au fost modificate și vor folosi noile setări
4956 - Windows Firewall și-a schimbat profilurile active
4957 - Windows Firewall nu se aplică următoarelor reguli
4958 - Deoarece intrările implicate în această regulă nu sunt configurate, următoarele reguli nu se vor aplica firewall-ului Windows:
6144 - Politica de securitate în obiectul Politicii de Grup a fost aplicată cu succes
6145 - Una sau mai multe erori apar la procesarea unei politici de securitate într-un obiect de Politică de Grup
4670 - Permisiunile asupra unui obiect au fost modificate
Utilizarea privilegiului de audit
4672 - Atribuirea privilegiilor pentru noile autentificări
4673 - Cerere pentru servicii privilegiate
4674 - Încercarea de a încerca o operațiune asupra unui obiect privilegiat
Evenimente ale sistemului de audit
5024 - Serviciul Windows Firewall a început cu succes
5025 - Serviciile de firewall Windows au fost oprite
5027 - Serviciul Windows Firewall nu poate recupera politicile de securitate din stocarea locală, iar serviciul va continua să aplice politica curentă
5028 - O nouă politică de securitate pe care serviciul Windows Firewall nu o poate rezolva și care va continua să aplice politica actuală
5029 - Serviciul Windows Firewall nu reușește să inițializeze driverele, ceea ce va continua să aplice politica actuală
5030 - Serviciul de firewall Windows nu pornește
5032 - Windows Firewall nu notifică utilizatorul că blochează o aplicație care primește o conexiune de intrare
5033 - Driverul Windows Firewall a fost pornit cu succes
5034 - Driverul Windows Firewall s-a oprit
5035 - Driverul firewall Windows nu pornește
5037 - Driverul firewall Windows detectează eroare critică în rulare și se termină.
4608 - Windows pornește
4609 - Windows se oprește
4616 - Ora sistemului este modificată
4621 - Administrator recuperează sistemul de la CrashOnAuditFail, utilizatorii non-admin pot acum să se autentifice, unele activități de audit pot să nu fie înregistrate
4697 - Instalarea unui server în sistem
4618 - Monitorizarea tiparului de evenimente de securitate a avut loc
|
Postat pe 07.05.2018 15:44:05
|
|
|
|
Postat pe 08.05.2018 11:39:53
|
