Ce este succesul auditului sau eșecul auditului în Vizualizatorul de evenimente

Cto Takoe Uspesnyj Audit Ili Sboj Audita V Sredstve Prosmotra Sobytij



Când vine vorba de Event Viewer, există două tipuri de rezultate pe care le puteți obține dintr-un audit – succes sau eșec. Dar ce înseamnă fiecare? Iată o explicație rapidă pentru fiecare.



Succesul auditului

Un audit cu succes înseamnă că acțiunea auditată a fost finalizată cu succes. Acesta ar putea fi ceva de genul unui utilizator care se conectează la un sistem sau un proces care se execută. În esență, orice ați configurat Vizualizatorul de evenimente pentru a urmări și a raporta.



Eșecul auditului

Un eșec de audit, pe de altă parte, înseamnă că acțiunea auditată nu a fost finalizată cu succes. Acest lucru se poate datora mai multor motive, cum ar fi introducerea unei parole incorecte sau un utilizator care nu are permisiunile necesare pentru a efectua acțiunea. Din nou, orice ați configurat Vizualizatorul de evenimente să urmărească și să raporteze poate duce la un eșec de audit.



Așa că o aveți – o explicație rapidă a succesului și eșecului auditului în Vizualizatorul de evenimente. Ca întotdeauna, dacă aveți întrebări, nu ezitați să contactați echipa noastră de experți IT.



Pentru a ajuta la depanare, Vizualizatorul de evenimente încorporat în sistemul de operare Windows afișează jurnalele de mesaje de sistem și aplicații care includ erori, avertismente și informații specifice despre evenimente pe care un administrator le poate analiza pentru a lua măsurile corespunzătoare. În această postare discutăm Audit de succes sau eșec de audit în Vizualizatorul de evenimente .

Ce este succesul auditului sau eșecul auditului în Vizualizatorul de evenimente



Ce este succesul auditului sau eșecul auditului în Vizualizatorul de evenimente

În vizualizatorul de evenimente Audit de succes este evenimentul care înregistrează o încercare reușită de acces securizat verificat, în timp ce Eroare de audit este un eveniment care înregistrează o încercare nereușită de acces securizat verificat. Vom discuta acest subiect în următoarele subtitluri:

  1. Politici de audit
  2. Activați politicile de audit
  3. Utilizați vizualizatorul de evenimente pentru a găsi sursa încercărilor eșuate sau reușite
  4. Alternative la utilizarea Vizualizatorului de evenimente

Să ne uităm la asta în detaliu.

Politici de audit

Politica de audit definește tipurile de evenimente care sunt scrise în jurnalele de securitate, iar aceste politici generează evenimente care pot avea succes sau eșuează. Toate politicile de audit vor genera Noroc evenimente ; cu toate acestea, doar câteva dintre ele vor genera Evenimente de eșec . Puteți configura două tipuri de politici de audit, și anume:

  • Politica de bază de audit are 9 categorii de politici de audit și 50 de subcategorii de politici de audit care pot fi activate sau dezactivate după cum este necesar. Mai jos este o listă cu 9 categorii de politici de audit.
    • Auditează evenimentele de conectare la cont
    • Auditează evenimentele de conectare
    • Auditul managementului conturilor
    • Audit de acces la serviciul de director
    • Auditul accesului la obiect
    • Schimbarea politicii de audit
    • Utilizarea privilegiilor de audit
    • Urmărirea procesului de audit
    • Auditarea evenimentelor sistemului. Această setare de politică determină dacă să auditeze când un utilizator repornește sau închide computerul sau când are loc un eveniment care afectează fie securitatea sistemului, fie jurnalul de securitate. Pentru mai multe informații și evenimente de conectare aferente, consultați documentația Microsoft la Learn.microsoft.com/Basic-Audit-System-Events .
  • Politică avansată de audit care are 53 de categorii, deci este recomandat deoarece puteți defini o politică de audit mai granulară și puteți înregistra doar evenimentele relevante, ceea ce este util în special atunci când se generează un număr mare de jurnale.

Erorile de audit apar de obicei atunci când o solicitare de conectare eșuează, deși pot fi cauzate și de modificări ale conturilor, obiectelor, politicilor, privilegiilor și altor evenimente de sistem. Cele mai frecvente două evenimente sunt:

  • ID eveniment 4771: pre-autentificarea Kerberos a eșuat . Acest eveniment este generat numai pe controlerele de domeniu și nu este generat dacă Nu necesită pre-autentificare Kerberos opțiunea este setată pentru cont. Pentru mai multe informații despre acest eveniment și despre cum să rezolvați această problemă, consultați documentația Microsoft .
  • ID eveniment 4625: Nu s-a putut conecta la cont . Acest eveniment este generat atunci când o încercare de conectare la cont eșuează și utilizatorul este deja blocat. Pentru mai multe informații despre acest eveniment și despre cum să rezolvați această problemă, consultați documentația Microsoft .

Citit : Cum să verificați jurnalul de închidere și pornire în Windows

Activați politicile de audit

Activați politicile de audit

Puteți activa politicile de audit pe computerele client sau server prin Editorul de politici de grup local sau Consola de gestionare a politicilor de grup sau Editor local de politici de securitate . Pe un server Windows din domeniul dvs., fie creați un GPO nou, fie editați un GPO existent.

Pe computerul client sau server, în Editorul de politici de grup, navigați la următoarea cale:

|_+_|

Pe computerul client sau server, în politica locală de securitate, navigați la următoarea cale:

|_+_|
  • În Politici de audit din panoul din dreapta, faceți dublu clic pe politica ale cărei proprietăți doriți să le modificați.
  • În panoul de proprietăți, puteți activa politica pentru Noroc sau Respingere conform cerinței dumneavoastră.

Citit : Cum să resetați toate setările locale ale politicii de grup la valorile implicite în Windows

Utilizați vizualizatorul de evenimente pentru a găsi sursa încercărilor eșuate sau reușite

Utilizați Vizualizatorul de evenimente pentru a găsi sursa evenimentelor eșuate sau reușite.

Administratorii și utilizatorii generali pot deschide Vizualizatorul de evenimente pe un computer local sau la distanță cu permisiunile corespunzătoare. Vizualizatorul de evenimente va înregistra acum un eveniment de fiecare dată când are loc un eveniment de eșec sau de succes, indiferent dacă este pe computerul client sau pe domeniul de pe server. ID-ul evenimentului care este declanșat la înregistrarea unui eveniment eșuat sau reușit este diferit (vezi mai jos). Politici de audit secțiunea de mai sus). Poti sa te duci la Vizualizator de eveniment > Jurnal Windows > Siguranță . Panoul din centru listează toate evenimentele configurate pentru auditare. Va trebui să vă uitați la evenimentele înregistrate pentru a găsi încercări eșuate sau reușite. După ce le găsiți, puteți face clic dreapta pe eveniment și selectați Proprietățile evenimentului Mai multe detalii.

Citit : Folosiți Vizualizatorul de evenimente pentru a verifica dacă există o utilizare neautorizată a unui computer Windows.

Alternative la utilizarea Vizualizatorului de evenimente

Ca o alternativă la utilizarea Vizualizatorului de evenimente, există mai multe software-uri Event Log Manager de la terți, care pot fi utilizate pentru a agrega și corela datele despre evenimente dintr-o varietate de surse, inclusiv servicii cloud. O soluție SIEM este cea mai bună opțiune dacă trebuie să colectați și să analizați date de la firewall-uri, sisteme de prevenire a intruziunilor (IPS), dispozitive, aplicații, comutatoare, routere, servere și multe altele.

istoricul liniei de comandă Windows

Sper că veți găsi această postare suficient de informativă!

Acum citește : Cum să activați sau să dezactivați înregistrarea securizată a evenimentelor în Windows

De ce este important să verificați atât încercările de acces reușite, cât și eșuate?

Este esențial să auditați evenimentele de conectare, indiferent dacă acestea au avut succes sau nereușite, pentru a detecta încercările de intruziune, deoarece auditarea conectărilor utilizatorilor este singura modalitate de a detecta toate încercările neautorizate de conectare la domeniu. Evenimentele de deconectare nu sunt urmărite pe controlerele de domeniu. De asemenea, este la fel de important să urmăriți încercările eșuate de acces la fișiere, deoarece o intrare de audit este creată de fiecare dată când orice utilizator încearcă fără succes să acceseze un obiect de sistem de fișiere care are un SACL corespunzător. Aceste evenimente sunt necesare pentru a urmări activitatea obiectelor fișier care sunt sensibile sau valoroase și necesită monitorizare suplimentară.

Citit : Consolidați politica privind parola de conectare Windows și politica de blocare a contului

Cum se activează jurnalele de eroare de audit în Active Directory?

Pentru a activa jurnalele de eroare de audit în Active Directory, pur și simplu faceți clic dreapta pe obiectul Active Directory pe care doriți să îl verificați și să îl selectați Caracteristici . Selectați Siguranță fila și apoi selectați Avansat . Selectați Audit fila și apoi selectați Adăuga . Pentru a vizualiza jurnalele de audit în Active Directory, faceți clic Începe > Securitatea sistemului > Instrumente de management > Vizualizator de eveniment . În Active Directory, auditarea este procesul de colectare și analiză a obiectelor AD și a datelor politicii de grup pentru a îmbunătăți în mod proactiv securitatea, a detecta rapid și a răspunde la amenințări și pentru a menține funcționarea fără probleme a operațiunilor IT.

Categorie
Jurnalele Evenimentelor
Recomandat
Cum să activați și să utilizați bara de căutare în Managerul de activități Windows 11
Cum să activați și să utilizați bara de căutare în Managerul de activități Windows 11
Gestionar De Sarcini
Cum să vă protejați împotriva programelor malware OneNote
Cum să vă protejați împotriva programelor malware OneNote
Programe malware
Remediați eroarea de actualizare Windows 10 0x800f0988, 0x800f08a, 0x800f081f
Remediați eroarea de actualizare Windows 10 0x800f0988, 0x800f08a, 0x800f081f
Windows
Cum să activați sau să permiteți extensiile în modul incognito în Google Chrome
Cum să activați sau să permiteți extensiile în modul incognito în Google Chrome
Descărcări
Posturi Populare
Despre Noi
Prankmike Oferă Sfaturi, Ghiduri, Instrucțiuni Pentru Windows 10, Funcții Și Software-Ul Liber.
Categorii
Cele Mai Văzute
Copyright © 2024Toate Drepturile Rezervate | prankmike.com | Politica De Confidențialitate