安全事件日志中的登录事件

表 1：安全事件日志中的登录事件

事件 ID

说明

528

用户成功登录计算机。

529

用户使用系统未知的用户名登录，或已知用户使用错误的密码登录。

530

用户帐户在许可的时间范围外登录。

531

用户使用已禁用的帐户登录。

532

用户使用过期帐户登录。

533

不允许用户登录计算机。

534

用户使用不许可的登录类型（如网络、交互、批量、服务或远程交互）进行登录。

535

指定帐户的密码已过期。

536

Net Logon 服务未处于活动状态。

537

登录由于其他原因而失败。

538

用户注销。

539

试图登录时帐户已被锁定。此事件表示密码***失败，并导致该帐户被锁定。

540

网络登录成功。此事件表示远程用户已成功从该网络连接到服务器上的本地资源，同时为该网络用户生成了一个令牌。

682

用户重新连接了已断开的终端服务会话。此事件表示前面已连接了一个终端服务会话。

683

用户在未注销的情况下断开终端服务会话。此事件是在用户通过网络连接终端服务会话时生成的。它出现在终端服务器上。

使用登录事件项可诊断下面的安全事件：

•

本地登录尝试失败下列任意事件 ID 都表示登录尝试失败：529、530、531、532、533、534 和 537。如果***者使用本地帐户的用户名和密码组合，但并未猜出，则看到事件 529 和 534。但是，如果用户忘记了密码，或通过“网上邻居”浏览网络，也可能产生这些事件。

在大型环境中，可能很难有效说明这些事件。作为一种规则，如果这些模式重复发生，或符合其他一些非正常因素，则应研究这些模式。例如，半夜，在发生若干 529 事件后发生了 528 事件，可能表示密码***成功（或管理员非常疲惫）。

•

帐户滥用事件 530、531、532 和 533 表示用户帐户被滥用。这些事件表示输入的帐户/密码组合是正确的，但由于其他一些限制而阻止了成功登录。只要有可能，请仔细研究这些事件，确定是否发生了滥用，或是否需要修改当前的限制。例如，可能需要延长帐户的登录时间。

•

帐户锁定事件 539 表示帐户已被锁定。这表示密码***已失败。您应查找同一用户帐户以前产生的 529 事件，尝试弄清登录的模式。

•

终端服务***终端服务会话可能停留在连接状态，使一些进程得以在会话结束后继续运行。事件 ID 683 表示用户没有从终端服务会话注销，事件 ID 682 表示发生了到上一个已断开连接会话的连接。

Contoso 监视大量的登录尝试失败和大量帐户锁定。在这样的环境中，由于一些合理的原因，常要让用户将终端服务会话保持断开状态。

当用户登录域时，这种登录在域控制器中处理。如果在域控制器中审核帐户登录事件，则会在验证该帐户的域控制器上记录此登录尝试。帐户登录事件是在身份验证程序包验证用户的凭据时创建的。只有使用域凭据，才会在域控制器的事件日志中生成帐户登录事件。如果提供的凭据为本地安全帐户管理器 (SAM) 数据库凭据，则会在服务器的安全事件日志中创建帐户登录事件。

因为帐户登录事件可能会记录在域的任何有效域控制器中，所以必须确保将各域控制器中的安全日志合并，以分析该域中的所有帐户登录事件。

注意：与登录事件相同，帐户登录事件既包括计算机登录事件，也包括用户登录事件。

作为“成员服务器和域控制器基准策略”的一部分，成功和失败的帐户登录事件都应启用审核。因此，应能看到网络登录和终端服务身份验证的下列事件 ID。

表 2：事件日志中的帐户登录事件

事件 ID

说明

672

身份验证服务 (AS) 票证已成功签发和验证。

673

已授予票证授予服务 (TGS) 票证。

674

安全主要对象续订了 AS 票证或 TGS 票证。

675

预身份验证失败。

676

身份验证票证请求失败。

677

未授予 TGS 票证。

678

某个帐户已成功映射到域帐户。

680

标识成功登录的帐户。此事件还指出了验证帐户的身份验证程序包。

681

尝试域帐户登录。

682

用户重新连接一个已断开的终端服务会话。

683

用户在没有注销的情况下断开了终端服务会话。

对于每个这样的事件，事件日志都会显示每个特定登录的详细信息。使用帐户登录事件项可诊断下面的安全事件：

•

域登录尝试失败事件 ID 675 和 677 表明登录域的尝试失败。

•

时间同步问题如果客户计算机的时间与身份验证域控制器的时间不同，多了五分钟（默认情况），则安全日志中显示事件 ID 675。

•

终端服务***终端服务会话可能停留在连接状态，使一些进程得以在会话结束之后继续运行。事件 ID 683 表示用户没有从终端服务会话注销，事件 ID 682 则表示发生了到上一个已断开连接会话的连接。要防止断开连接，或要终止这些已断开的会话，请在“终端服务配置”控制台中的 RDP-TCP 协议属性中定义“time interval to end disconnected session”（结束已断开会话的时间间隔）。

Contoso 当前要监视数量巨大的失败域登录尝试。根据其环境的不同，其他一些事件无关紧要。配置这些设置时，他们确定的最好方法是，首先以一个相对较严格的设置开始，然后持续减少它的严格程度，直到一些非实质警告的数量减少。目前，他们监视的是 10 分钟时间段中发生 10 次失败登录的所有情况。这些数字在所有环境中可能都是不同的。

帐户管理审核用于确定何时创建、更改或删除了用户或组。这种审核可用于确定何时创建了安全主要对象，以及谁执行了该任务。

作为“成员服务器和域控制器基准策略”的一部分，帐户管理中的成功和失败都应启用审核。因此，应该会看到安全日志中记录的下列事件 ID。

表 3：事件日志中的帐户管理事件

事件 ID

说明

624

创建了用户帐户

625

用户帐户类型更改

626

启用了用户帐户

627

尝试进行了密码更改

628

设置了用户帐户密码。

629

禁用了用户帐户

630

删除了用户帐户

631

创建了启用安全的全局组

632

添加了启用安全的全局组成员

633

删除了启用安全的全局组成员

634

删除了启用安全的全局组

635

创建了禁用安全的本地组

636

添加了启用安全的本地组成员

637

删除了启用安全的本地组成员

638

删除了启用安全的本地组

639

更改了启用安全的本地组

641

更改了启用安全的全局组

642

更改了用户帐户

643

更改了域策略

644

锁定了用户帐户

使用安全日志项可诊断下面的帐户管理事件：

•

用户帐户的创建事件 ID 624 和 626 表明何时创建和启用了用户帐户。如果帐户创建限定在组织中的特定个人，则可使用这些事件表示是否有未授权的个人创建了用户帐户。

•

更改了用户帐户密码如果不是该用户修改密码，可能表明该帐户已被另一用户占用。请查看事件 ID 627 和 628，它们分别表明尝试进行了密码更改以及密码更改成功。请查看详细信息，确定是否是另一个帐户执行了该更改，该帐户是否是重置用户帐户密码的技术支持部门或其他服务部门的成员。

•

更改了用户帐户状态某个***者在***过程中，可能会通过禁用或删除帐户来尝试掩盖***。出现的所有事件 ID 629 和 630 都应仔细研究，确保这些是授权的事务处理。另外，还要查看发生事件 ID 626 之后短时间内发生的事件 ID 629。这可能表明一个已禁用的帐户被启用，被使用，然后又再次被禁用。

•

安全组的修改成员身份更改为 Domain Administrator、 Administrator、Operator 组的任何成员，或更改为被委派了管理功能的自定义全局组、通用组或域本地组，这些情况都应进行复查。对于全局组成员身份修改，请查找事件 ID 632 和 633。对于域本地组成员身份修改，请查看事件 ID 636 和 637。

•

帐户锁定锁定帐户时，系统会在主域控制器 (PDC) 模拟器操作主机上记录两个事件。一个事件为 644，表示帐户名已被锁定；然后记录事件 642，表示该用户帐户已更改为表明帐户现已锁定。此事件只会记录在 PDC 模拟器上。

因为 Contoso 是一个较大的企业，所以每天有大量的帐户要维护。监视所有这些事件会导致环境中产生太多的警告，而这些警告不必全部进行合理的解决