Čo je úspech auditu alebo zlyhanie auditu v prehliadači udalostí

Cto Takoe Uspesnyj Audit Ili Sboj Audita V Sredstve Prosmotra Sobytij



Pokiaľ ide o Prehliadač udalostí, existujú dva typy výsledkov, ktoré môžete získať z auditu – úspech alebo zlyhanie. Čo však každý z nich znamená? Tu je rýchle vysvetlenie každého z nich.



Úspech auditu

Úspech auditu znamená, že auditovaná akcia bola úspešne dokončená. Môže to byť niečo ako prihlásenie používateľa do systému alebo spustený proces. V podstate všetko, čo ste nakonfigurovali v prehliadači udalostí na sledovanie a vytváranie prehľadov.



Zlyhanie auditu

Zlyhanie auditu na druhej strane znamená, že auditovaná akcia nebola úspešne dokončená. Môže to byť spôsobené mnohými dôvodmi, ako je napríklad nesprávne zadané heslo alebo používateľ, ktorý nemá potrebné povolenia na vykonanie akcie. Opäť platí, že čokoľvek, čo ste nakonfigurovali Event Viewer na sledovanie a podávanie správ, môže viesť k zlyhaniu auditu.



Takže tu to máte – rýchle vysvetlenie úspechu a neúspechu auditu v prehliadači udalostí. Ako vždy, ak máte nejaké otázky, neváhajte sa obrátiť na náš tím IT odborníkov.



Na pomoc pri odstraňovaní problémov zobrazuje Zobrazovač udalostí zabudovaný do operačného systému Windows protokoly systémových a aplikačných správ, ktoré obsahujú chyby, varovania a informácie o špecifických udalostiach, ktoré môže správca analyzovať, aby mohol podniknúť príslušné kroky. V tomto príspevku diskutujeme Úspech auditu alebo zlyhanie auditu v prehliadači udalostí .

Čo je úspech auditu alebo zlyhanie auditu v prehliadači udalostí



Čo je úspech auditu alebo zlyhanie auditu v prehliadači udalostí

V prehliadači udalostí Audit úspechu je udalosť, ktorá zaznamená úspešný overený pokus o bezpečný prístup, pričom Chyba auditu je udalosť, ktorá zaznamená neúspešný pokus o overený bezpečný prístup. Tejto téme sa budeme venovať v nasledujúcich podnadpisoch:

  1. Zásady auditu
  2. Povoliť zásady auditu
  3. Použite prehliadač udalostí na nájdenie zdroja neúspešných alebo úspešných pokusov
  4. Alternatívy k používaniu Zobrazovača udalostí

Pozrime sa na to podrobne.

Zásady auditu

Politika auditu definuje typy udalostí, ktoré sa zapisujú do bezpečnostných protokolov, a tieto politiky generujú udalosti, ktoré môžu byť úspešné alebo neúspešné. Vygenerujú sa všetky zásady auditu Veľa štastia diania ; len málo z nich však vygeneruje Udalosti zlyhania . Môžete nakonfigurovať dva typy politík auditu, a to:

  • Základná politika auditu má 9 kategórií politiky auditu a 50 podkategórií politiky auditu, ktoré možno podľa potreby povoliť alebo zakázať. Nižšie je uvedený zoznam 9 kategórií zásad auditu.
    • Auditujte udalosti prihlásenia účtu
    • Audit prihlasovacích udalostí
    • Audit správy účtov
    • Audit prístupu k adresárovej službe
    • Audit prístupu k objektu
    • Zmena politiky auditu
    • Použitie oprávnenia auditu
    • Sledovanie procesu auditu
    • Auditovanie systémových udalostí. Toto nastavenie politiky určuje, či sa má vykonať audit, keď používateľ reštartuje alebo vypne počítač, alebo keď nastane udalosť, ktorá ovplyvní zabezpečenie systému alebo denník zabezpečenia. Ďalšie informácie a súvisiace udalosti prihlásenia nájdete v dokumentácii spoločnosti Microsoft na adrese Learn.microsoft.com/Basic-Audit-System-Events .
  • Pokročilá politika auditu ktorý má 53 kategórií, preto sa odporúča, pretože môžete definovať podrobnejšiu politiku auditu a zaznamenávať iba relevantné udalosti, čo je užitočné najmä pri vytváraní veľkého počtu protokolov.

Chyby auditu sa zvyčajne vyskytujú, keď žiadosť o prihlásenie zlyhá, hoci môžu byť spôsobené aj zmenami účtov, objektov, politík, privilégií a iných systémových udalostí. Dve najbežnejšie udalosti sú:

  • Identifikácia udalosti 4771: Predbežná autentifikácia Kerberos zlyhala . Táto udalosť sa generuje iba na radičoch domény a negeneruje sa, ak Nevyžadujte predbežnú autentizáciu Kerberos možnosť je nastavená pre účet. Ďalšie informácie o tejto udalosti a spôsobe riešenia tohto problému nájdete v časti Dokumentácia spoločnosti Microsoft .
  • Udalosť ID 4625: Nepodarilo sa prihlásiť do účtu . Táto udalosť sa generuje, keď zlyhá pokus o prihlásenie k účtu a používateľ je už zablokovaný. Ďalšie informácie o tejto udalosti a spôsobe riešenia tohto problému nájdete v časti Dokumentácia spoločnosti Microsoft .

Čítať : Ako skontrolovať denník vypínania a spúšťania v systéme Windows

Povoliť zásady auditu

Povoliť zásady auditu

Zásady auditu na klientskych alebo serverových počítačoch môžete povoliť prostredníctvom Editora lokálnej skupinovej politiky alebo Konzoly na správu zásad skupiny, alebo Editor miestnej bezpečnostnej politiky . Na serveri Windows vo vašej doméne vytvorte nový GPO alebo upravte existujúci GPO.

Na klientskom alebo serverovom počítači prejdite v Editore skupinovej politiky na nasledujúcu cestu:

|_+_|

Na klientskom alebo serverovom počítači prejdite v lokálnej bezpečnostnej politike na nasledujúcu cestu:

|_+_|
  • Na pravej table Politiky auditu dvakrát kliknite na politiku, ktorej vlastnosti chcete zmeniť.
  • Na paneli vlastností môžete povoliť politiku pre Veľa štastia alebo odmietnutie podľa vašej požiadavky.

Čítať : Ako obnoviť všetky nastavenia zásad miestnej skupiny na predvolené hodnoty v systéme Windows

Použite prehliadač udalostí na nájdenie zdroja neúspešných alebo úspešných pokusov

Na vyhľadanie zdroja neúspešných alebo úspešných udalostí použite Zobrazovač udalostí.

Správcovia a všeobecní používatelia môžu otvoriť Zobrazovač udalostí na lokálnom alebo vzdialenom počítači s príslušnými povoleniami. Prehliadač udalostí teraz zaznamená udalosť vždy, keď dôjde k zlyhaniu alebo úspechu, či už na klientskom počítači alebo doméne na serveri. ID udalosti, ktoré sa spustí pri registrácii neúspešnej alebo úspešnej udalosti, sa líši (pozri nižšie). Zásady auditu časť vyššie). Môžete ísť do Prehliadač udalostí > Okná denníka > Bezpečnosť . Panel v strede obsahuje zoznam všetkých udalostí nakonfigurovaných na auditovanie. Ak chcete nájsť neúspešné alebo úspešné pokusy, musíte sa pozrieť na zaznamenané udalosti. Keď ich nájdete, môžete na udalosť kliknúť pravým tlačidlom a vybrať Vlastnosti udalosti Viac informácií.

Čítať : Na kontrolu neoprávneného použitia počítača so systémom Windows použite prehliadač udalostí.

Alternatívy k používaniu Zobrazovača udalostí

Ako alternatívu k použitiu Event Viewer existuje niekoľko softvéru Event Log Manager od tretích strán, ktorý možno použiť na agregáciu a koreláciu údajov o udalostiach z rôznych zdrojov vrátane cloudových služieb. Riešenie SIEM je najlepšou voľbou, ak potrebujete zhromažďovať a analyzovať údaje z brán firewall, systémov prevencie narušenia (IPS), zariadení, aplikácií, prepínačov, smerovačov, serverov a ďalších.

cutepdf windows 10

Dúfam, že tento príspevok považujete za dostatočne informatívny!

Teraz čítajte : Ako povoliť alebo zakázať zabezpečené protokolovanie udalostí v systéme Windows

Prečo je dôležité kontrolovať úspešné aj neúspešné pokusy o prístup?

Na zistenie pokusov o narušenie je dôležité auditovať udalosti prihlásenia, či už boli úspešné alebo neúspešné, pretože auditovanie prihlásení používateľov je jediný spôsob, ako odhaliť všetky neoprávnené pokusy o prihlásenie do domény. Udalosti odhlásenia sa na radičoch domény nesledujú. Rovnako dôležité je sledovať neúspešné pokusy o prístup k súboru, pretože záznam auditu sa vytvorí vždy, keď sa ktorýkoľvek používateľ neúspešne pokúsi o prístup k objektu systému súborov, ktorý má zodpovedajúci SACL. Tieto udalosti sú potrebné na sledovanie aktivity súborových objektov, ktoré sú citlivé alebo hodnotné a vyžadujú dodatočné monitorovanie.

Čítať : Posilnite politiku prihlasovacieho hesla systému Windows a politiku uzamknutia účtu

Ako povoliť protokoly chýb auditu v službe Active Directory?

Ak chcete povoliť protokoly chýb auditu v službe Active Directory, jednoducho kliknite pravým tlačidlom myši na objekt služby Active Directory, ktorý chcete skontrolovať, a vyberte ho Charakteristika . Vyberte Bezpečnosť kartu a potom vyberte Pokročilé . Vyberte Audit kartu a potom vyberte Pridať . Ak chcete zobraziť denníky auditu v službe Active Directory, kliknite Začať > Zabezpečenie systému > Manažérske nástroje > Prehliadač udalostí . V Active Directory je audit proces zhromažďovania a analýzy AD objektov a údajov skupinovej politiky s cieľom proaktívne zlepšiť bezpečnosť, rýchlo odhaliť hrozby a reagovať na ne a zabezpečiť hladký chod IT operácií.

Kategórie
Denníky Udalostí
Odporúčaná
Ikona koša sa v systéme Windows 10 neaktualizuje automaticky
Ikona koša sa v systéme Windows 10 neaktualizuje automaticky
Windows
Niektoré z vašich účtov vyžadujú pozornosť v systéme Windows 11/10.
Niektoré z vašich účtov vyžadujú pozornosť v systéme Windows 11/10.
Konto Microsoft
Opravte kód chyby aplikácie Xbox 0x80040154 v systéme Windows 11/10
Opravte kód chyby aplikácie Xbox 0x80040154 v systéme Windows 11/10
Xbox
Ako spravovať dôveryhodné koreňové certifikáty v systéme Windows 10
Ako spravovať dôveryhodné koreňové certifikáty v systéme Windows 10
Windows
Populárne Príspevky
O Nás
Prankmike Poskytuje Rady, Pokyny, Pokyny Pre Windows 10, Funkcie A Slobodného Softvéru.
Kategórie
Najviac Videné
Copyright © 2024Všetky Práva Vyhradené | prankmike.com | Zásady Ochrany Osobných Údajov