Какво е успех на одита или неуспех на одита в Event Viewer

Cto Takoe Uspesnyj Audit Ili Sboj Audita V Sredstve Prosmotra Sobytij



Що се отнася до Event Viewer, има два вида резултати, които можете да получите от одит – успех или неуспех. Но какво означава всеки от тях? Ето кратко обяснение на всеки.



Успех на одита

Успешен одит означава, че одитираното действие е завършено успешно. Това може да е нещо като влизане на потребител в система или стартиран процес. По същество всичко, за което сте конфигурирали Event Viewer да проследява и отчита.



Неуспешен одит

Неуспешен одит, от друга страна, означава, че одитираното действие не е завършено успешно. Това може да се дължи на редица причини, като например въведена неправилна парола или потребител, който няма необходимите разрешения за извършване на действието. Отново всичко, което сте конфигурирали за проследяване и отчитане на Event Viewer, може да доведе до неуспешен одит.



Ето го – бързо обяснение на успеха и неуспеха на одита в Event Viewer. Както винаги, ако имате въпроси, можете да се свържете с нашия екип от ИТ експерти.



За да помогне при отстраняването на неизправности, Event Viewer, вграден в операционната система Windows, показва регистрационни файлове на системни и приложни съобщения, които включват грешки, предупреждения и специфична информация за събития, които администраторът може да анализира, за да предприеме подходящи действия. В тази публикация обсъждаме Успешен или неуспешен одит в Event Viewer .

Какво е успех на одита или неуспех на одита в Event Viewer



Какво е успех на одита или неуспех на одита в Event Viewer

В програмата за преглед на събития Одит на успеха е събитието, което регистрира успешен проверен опит за защитен достъп, докато Одитна грешка е събитие, което регистрира неуспешен опит за проверен защитен достъп. Ще обсъдим тази тема в следните подзаглавия:

  1. Политики за одит
  2. Активиране на политики за одит
  3. Използвайте инструмента за преглед на събития, за да намерите източника на неуспешни или успешни опити
  4. Алтернативи на използването на Event Viewer

Нека разгледаме това в детайли.

Политики за одит

Политиката за одит дефинира типовете събития, които се записват в регистрационните файлове за защита, и тези политики генерират събития, които могат или да успеят, или да се провалят. Всички политики за одит ще генерират Късмет събития ; обаче само няколко от тях ще генерират Неуспешни събития . Можете да конфигурирате два типа правила за одит, а именно:

  • Основна одитна политика има 9 категории политика за одит и 50 подкатегории политика за одит, които могат да бъдат активирани или деактивирани според изискванията. По-долу е даден списък от 9 категории политики за одит.
    • Одит на събития за влизане в акаунт
    • Одит на събития при влизане
    • Одит за управление на акаунти
    • Одит на достъпа до справочни услуги
    • Одит на достъпа до обекти
    • Промяна на одитната политика
    • Използване на привилегия за одит
    • Проследяване на процеса на одит
    • Одитиране на системни събития. Тази настройка на правилата определя дали да се проверява, когато потребителят рестартира или изключи компютъра, или когато възникне събитие, което засяга или системната сигурност, или регистрационния файл за защита. За повече информация и свързани събития при влизане вижте документацията на Microsoft на адрес Learn.microsoft.com/Basic-Audit-System-Events .
  • Разширена политика за одит който има 53 категории, така че се препоръчва, тъй като можете да дефинирате по-подробна политика за одит и да регистрирате само съответните събития, което е особено полезно при генериране на голям брой регистрационни файлове.

Грешки при одита обикновено възникват, когато заявка за влизане е неуспешна, въпреки че те могат да бъдат причинени и от промени в акаунти, обекти, политики, привилегии и други системни събития. Двете най-чести събития са:

  • Събитие ID 4771: Предварителното удостоверяване на Kerberos е неуспешно . Това събитие се генерира само на домейн контролери и не се генерира, ако Не изисквайте предварително удостоверяване на Kerberos опцията е зададена за акаунта. За повече информация относно това събитие и как да разрешите този проблем вижте Документация на Microsoft .
  • ID на събитие 4625: Неуспешно влизане в акаунта . Това събитие се генерира, когато опитът за влизане в акаунт е неуспешен и потребителят вече е заключен. За повече информация относно това събитие и как да разрешите този проблем вижте Документация на Microsoft .

Прочети : Как да проверите журнала за изключване и стартиране в Windows

Активиране на политики за одит

Активиране на политики за одит

Можете да активирате политики за одит на клиентски или сървърни машини чрез редактора на локални групови правила или конзолата за управление на групови правила, или Локален редактор на политика за сигурност . На Windows сървър във вашия домейн създайте нов GPO или редактирайте съществуващ GPO.

На клиентския или сървърния компютър в редактора на групови правила отидете до следния път:

|_+_|

На клиентския или сървърния компютър, в локалната политика за сигурност, отидете до следния път:

|_+_|
  • В Правилата за одит в десния панел щракнете двукратно върху политиката, чиито свойства искате да промените.
  • В панела със свойства можете да активирате правилата за Късмет или Отхвърляне според вашите изисквания.

Прочети : Как да нулирате всички настройки на местната групова политика по подразбиране в Windows

Използвайте инструмента за преглед на събития, за да намерите източника на неуспешни или успешни опити

Използвайте Event Viewer, за да намерите източника на неуспешни или успешни събития.

Администраторите и обикновените потребители могат да отворят програмата за преглед на събития на локален или отдалечен компютър със съответните разрешения. Програмата за преглед на събития вече ще регистрира събитие всеки път, когато възникне неуспех или успех, независимо дали на клиентския компютър или домейна на сървъра. Идентификаторът на събитието, който се задейства при регистриране на неуспешно или успешно събитие, е различен (вижте по-долу). Политики за одит раздел по-горе). Може да отидеш до Преглед на събития > Журнал Windows > Безопасност . Панелът в центъра изброява всички събития, конфигурирани за одит. Ще трябва да прегледате регистрираните събития, за да намерите неуспешни или успешни опити. След като ги намерите, можете да щракнете с десния бутон върху събитието и да изберете Свойства на събитието Повече информация.

Прочети : Използвайте Event Viewer, за да проверите за неоторизирано използване на компютър с Windows.

Алтернативи на използването на програмата за преглед на събития

Като алтернатива на използването на Event Viewer има няколко софтуера Event Log Manager на трети страни, които могат да се използват за агрегиране и корелиране на данни за събития от различни източници, включително облачни услуги. SIEM решението е най-добрият вариант, ако трябва да събирате и анализирате данни от защитни стени, системи за предотвратяване на проникване (IPS), устройства, приложения, комутатори, рутери, сървъри и др.

сладък pdf windows 10

Надяваме се, че намирате тази публикация за достатъчно информативна!

Сега прочетете : Как да активирате или деактивирате регистриране на защитени събития в Windows

Защо е важно да проверявате както успешните, така и неуспешните опити за достъп?

Изключително важно е да се одитират събитията за влизане, независимо дали са били успешни или неуспешни, за да се открият опити за проникване, тъй като одитът на потребителските влизания е единственият начин за откриване на всички неоторизирани опити за влизане в домейн. Събитията за излизане не се проследяват на домейн контролери. Също толкова важно е да се следят неуспешните опити за достъп до файлове, тъй като запис за проверка се създава всеки път, когато потребител неуспешно се опита да получи достъп до обект на файлова система, който има съответстващ SACL. Тези събития са необходими за проследяване на дейността на файлови обекти, които са чувствителни или ценни и изискват допълнително наблюдение.

Прочети : Укрепете политиката за пароли за влизане в Windows и политиката за блокиране на акаунти

Как да активирам журналите за грешки при одит в Active Directory?

За да активирате журналите за грешки при проверка в Active Directory, просто щракнете с десния бутон върху обекта на Active Directory, който искате да проверите, и изберете Характеристики . Изберете Безопасност и след това изберете Разширено . Изберете Одит и след това изберете Добавете . За да видите регистрационните файлове за проверка в Active Directory, щракнете Започвам > Сигурност на системата > Инструменти за управление > Преглед на събития . В Active Directory одитът е процес на събиране и анализиране на AD обекти и данни за групови правила за проактивно подобряване на сигурността, бързо откриване и реагиране на заплахи и поддържане на безпроблемното протичане на ИТ операциите.

Категория
Регистри На Събития
Препоръчано
Как да създадете своя първи клуб в общността на Xbox
Как да създадете своя първи клуб в общността на Xbox
Windows
Как да промените език, час, регион, локал в Windows 10
Как да промените език, час, регион, локал в Windows 10
Windows
Коригиране на блокиране на Google Classroom при зареждане на компютър с Windows
Коригиране на блокиране на Google Classroom при зареждане на компютър с Windows
Google
USB портовете не работят в Windows 11/10
USB портовете не работят в Windows 11/10
Usb
Популярни Публикации
За Нас
Prankmike Предоставя Съвети, Насоки, Инструкции За Windows 10, Функции И Безплатен Софтуер.
Категории
Най-Гледан
Copyright © 2024Всички Права Запазени | prankmike.com | Декларация За Поверителност