Què és l'èxit de l'auditoria o el fracàs de l'auditoria al visualitzador d'esdeveniments

Cto Takoe Uspesnyj Audit Ili Sboj Audita V Sredstve Prosmotra Sobytij



Quan es tracta del Visor d'esdeveniments, hi ha dos tipus de resultats que podeu obtenir d'una auditoria: èxit o fracàs. Però què vol dir cadascun? Aquí teniu una explicació ràpida de cadascun.



Èxit de l'auditoria

Una auditoria correcta significa que l'acció que s'està auditant s'ha completat correctament. Això podria ser com un usuari que iniciï sessió en un sistema o un procés que s'està executant. Bàsicament, qualsevol cosa que hàgiu configurat el Visor d'esdeveniments per fer un seguiment i informar-ne.



Fallada de l'auditoria

Un error d'auditoria, d'altra banda, significa que l'acció que s'està auditant no s'ha completat correctament. Això pot ser degut a diversos motius, com ara que s'introdueix una contrasenya incorrecta o que un usuari no té els permisos necessaris per dur a terme l'acció. De nou, qualsevol cosa que hàgiu configurat el Visualitzador d'esdeveniments per fer un seguiment i informar-ne pot provocar un error d'auditoria.



Així que aquí ho teniu: una explicació ràpida de l'èxit i el fracàs de l'auditoria al Visor d'esdeveniments. Com sempre, si teniu cap pregunta, no dubteu a posar-vos en contacte amb el nostre equip d'experts en TI.



Per ajudar en la resolució de problemes, el Visor d'esdeveniments integrat al sistema operatiu Windows mostra registres de missatges del sistema i de l'aplicació que inclouen errors, advertències i informació específica d'esdeveniments que un administrador pot analitzar per prendre les accions adequades. En aquest post parlem Èxit de l'auditoria o error de l'auditoria al visualitzador d'esdeveniments .

Què és l



Què és l'èxit de l'auditoria o el fracàs de l'auditoria al visualitzador d'esdeveniments

En el visor d'esdeveniments Auditoria d'èxit és l'esdeveniment que registra un intent d'accés segur verificat amb èxit, mentre Error d'auditoria és un esdeveniment que registra un intent d'accés segur verificat sense èxit. Debatrem aquest tema en els següents subtítols:

  1. Polítiques d'auditoria
  2. Activa les polítiques d'auditoria
  3. Utilitzeu el visualitzador d'esdeveniments per trobar l'origen dels intents fallits o satisfactoris
  4. Alternatives a l'ús del Visor d'esdeveniments

Vegem-ho amb detall.

Polítiques d'auditoria

La política d'auditoria defineix els tipus d'esdeveniments que s'escriuen als registres de seguretat i aquestes polítiques generen esdeveniments que poden tenir èxit o fracassar. Es generaran totes les polítiques d'auditoria Bona sort esdeveniments ; tanmateix, només uns quants en generaran Esdeveniments de fracàs . Podeu configurar dos tipus de polítiques d'auditoria, a saber:

  • Política bàsica d'auditoria té 9 categories de polítiques d'auditoria i 50 subcategories de polítiques d'auditoria que es poden activar o desactivar segons sigui necessari. A continuació es mostra una llista de 9 categories de polítiques d'auditoria.
    • Auditoria d'esdeveniments d'inici de sessió al compte
    • Auditoria d'esdeveniments d'inici de sessió
    • Auditoria de gestió de comptes
    • Auditoria d'accés al servei de directoris
    • Auditoria d'accés a objectes
    • Canvi de la política d'auditoria
    • Ús de privilegis d'auditoria
    • Seguiment del procés d'auditoria
    • Auditoria d'esdeveniments del sistema. Aquesta configuració de política determina si cal auditar quan un usuari reinicia o tanca l'ordinador, o quan es produeix un esdeveniment que afecta la seguretat del sistema o el registre de seguretat. Per obtenir més informació i esdeveniments d'inici de sessió relacionats, consulteu la documentació de Microsoft a Learn.microsoft.com/Basic-Audit-System-Events .
  • Política d'auditoria avançada que té 53 categories, per la qual cosa es recomana, ja que podeu definir una política d'auditoria més granular i només registrar els esdeveniments rellevants, la qual cosa és especialment útil quan es genera un gran nombre de registres.

Els errors d'auditoria solen produir-se quan falla una sol·licitud d'inici de sessió, encara que també poden ser causats per canvis en comptes, objectes, polítiques, privilegis i altres esdeveniments del sistema. Els dos esdeveniments més habituals són:

  • Identificador d'esdeveniment 4771: la pre-autenticació de Kerberos ha fallat . Aquest esdeveniment només es genera als controladors de domini i no es genera si No necessiteu autenticació prèvia de Kerberos l'opció està establerta per al compte. Per obtenir més informació sobre aquest esdeveniment i com resoldre aquest problema, vegeu Documentació de Microsoft .
  • Identificador d'esdeveniment 4625: no s'ha pogut iniciar la sessió al compte . Aquest esdeveniment es genera quan un intent d'inici de sessió al compte falla i l'usuari ja està bloquejat. Per obtenir més informació sobre aquest esdeveniment i com resoldre aquest problema, vegeu Documentació de Microsoft .

Llegeix : Com comprovar el tancament i el registre d'inici a Windows

Activa les polítiques d'auditoria

Activa les polítiques d

Podeu habilitar polítiques d'auditoria en màquines client o servidor mitjançant l'Editor de polítiques de grup local o la Consola de gestió de polítiques de grup, o bé Editor de polítiques de seguretat local . En un servidor de Windows del vostre domini, creeu un GPO nou o editeu un GPO existent.

A l'ordinador client o servidor, a l'Editor de polítiques de grup, navegueu al camí següent:

|_+_|

A l'ordinador client o servidor, a la política de seguretat local, navegueu al camí següent:

|_+_|
  • A les polítiques d'auditoria del panell dret, feu doble clic a la política les propietats de la qual voleu canviar.
  • Al tauler de propietats, podeu activar la política per a Bona sort o Rebuig segons el vostre requisit.

Llegeix : Com restablir tots els paràmetres de la política de grup local als valors predeterminats a Windows

Utilitzeu el visualitzador d'esdeveniments per trobar l'origen dels intents fallits o satisfactoris

Utilitzeu el Visor d

Els administradors i usuaris generals poden obrir el Visor d'esdeveniments en un ordinador local o remot amb els permisos adequats. El visualitzador d'esdeveniments ara registrarà un esdeveniment cada vegada que es produeixi un esdeveniment d'error o èxit, ja sigui a l'ordinador client o al domini del servidor. L'identificador d'esdeveniment que s'activa quan es registra un esdeveniment fallit o correcte és diferent (vegeu més avall). Polítiques d'auditoria secció anterior). Podeu anar a Visor d'esdeveniments > Diari Windows > Seguretat . El panell del centre enumera tots els esdeveniments configurats per a l'auditoria. Haureu de mirar els esdeveniments registrats per trobar intents fallits o reeixits. Un cop els trobeu, podeu fer clic amb el botó dret a l'esdeveniment i seleccionar-los Propietats de l'esdeveniment Més detalls.

Llegeix : Utilitzeu el Visor d'esdeveniments per comprovar l'ús no autoritzat d'un ordinador Windows.

Alternatives a l'ús del Visor d'esdeveniments

Com a alternativa a l'ús del Visor d'esdeveniments, hi ha diversos programaris de gestor de registres d'esdeveniments de tercers que es poden utilitzar per agregar i correlacionar dades d'esdeveniments de diverses fonts, inclosos els serveis al núvol. Una solució SIEM és la millor opció si necessiteu recopilar i analitzar dades de tallafocs, sistemes de prevenció d'intrusions (IPS), dispositius, aplicacions, commutadors, encaminadors, servidors i molt més.

finestres cutepdf 10

Espero que trobeu aquesta publicació prou informativa!

Ara llegiu : Com activar o desactivar el registre d'esdeveniments segur a Windows

Per què és important comprovar tant els intents d'accés reeixits com els fallits?

És fonamental auditar els esdeveniments d'inici de sessió, tant si han tingut èxit com si no han tingut èxit, per detectar intents d'intrusió, perquè l'auditoria dels inicis de sessió dels usuaris és l'única manera de detectar tots els intents d'inici de sessió no autoritzats del domini. Els esdeveniments de tancament de sessió no es fan un seguiment als controladors de domini. També és igual d'important fer un seguiment dels intents fallits d'accés a fitxers, ja que es crea una entrada d'auditoria cada vegada que un usuari intenta accedir sense èxit a un objecte del sistema de fitxers que té una SACL coincident. Aquests esdeveniments són necessaris per fer un seguiment de l'activitat dels objectes de fitxer que són sensibles o valuosos i requereixen una vigilància addicional.

Llegeix : Reforci la política de contrasenyes d'inici de sessió de Windows i la política de bloqueig de comptes

Com habilitar els registres d'errors d'auditoria a Active Directory?

Per habilitar els registres d'errors d'auditoria a Active Directory, només cal que feu clic amb el botó dret a l'objecte Active Directory que voleu comprovar i seleccionar Característiques . Seleccioneu Seguretat pestanya i després seleccioneu Avançat . Seleccioneu Auditoria pestanya i després seleccioneu Afegeix . Per veure els registres d'auditoria a Active Directory, feu clic a Començar > Seguretat del sistema > Eines de gestió > Visor d'esdeveniments . A l'Active Directory, l'auditoria és el procés de recopilació i anàlisi d'objectes AD i dades de polítiques de grup per millorar la seguretat de manera proactiva, detectar i respondre ràpidament a les amenaces i mantenir les operacions de TI funcionant sense problemes.

Categoria
Registres D'esdeveniments
Recomanat
mHotspot: feu que el vostre ordinador amb Windows sigui un punt d'accés Wi-Fi
mHotspot: feu que el vostre ordinador amb Windows sigui un punt d'accés Wi-Fi
Descàrregues
Com obrir el Gestor de serveis de Windows a Windows 10
Com obrir el Gestor de serveis de Windows a Windows 10
Windows
Com moure les aplicacions de Windows 10 a una altra unitat mitjançant la configuració
Com moure les aplicacions de Windows 10 a una altra unitat mitjançant la configuració
Windows
1152 S'ha produït un error en extreure fitxers a una carpeta temporal.
1152 S'ha produït un error en extreure fitxers a una carpeta temporal.
Windows
Entrades Populars
Sobre Nosaltres
Prankmike Proporciona Consells, Directrius, Instruccions Per A Windows 10, Les Funcions I El Programari Lliure.
Categories
Més Vist
Copyright © 2024Tots Els Drets Reservats | prankmike.com | Política De Privacitat