Windows – Auditoria de eventos de logon e logon de conta

By | 31 de agosto de 2009
Print Friendly, PDF & Email

Sempre fica uma pequena duvida entre qual auditoria utilizar. Mas nada mais facil é saber o tipo de evento que precisamos e assim habilitar a auditoria correta.
Eventos de Logon de Conta
Eventos de logon de conta são gerados nos controladores de domínio para a atividade das contas do domínio e nos computadores locais para a atividade das contas locais.

 

Eventos de logon Descrição
528 Um usuário fez logon com sucesso em um computador. Para obter informações sobre o tipo de logon, consulte a tabela Tipos de Logon a seguir.
529 Falha de logon. Foi feita uma tentativa de logon com nome de usuário desconhecido ou senha inválida.
530 Falha de logon. Foi feita uma tentativa de logon por uma conta de usuário que tentou fazer logon fora do horário permitido.
531 Falha de logon. Foi feita uma tentativa de logon usando-se uma conta desabilitada.
532 Falha de logon. Foi feita uma tentativa de logon usando-se uma conta expirada.
533 Falha de logon. Foi feita uma tentativa de logon por um usuário que não tem permissão para fazer logon nesse computador.
534 Falha de logon. O usuário tentou fazer logon com um tipo que não é permitido.
535 Falha de logon. A senha da conta especificada expirou.
536 Falha de logon. O serviço Net Logon não está ativo.
537 Falha de logon. A tentativa de logon falhou por outros motivos.

Observação

· Em alguns casos, o motivo da falha do logon pode ser desconhecida.

538 O processo de logoff de um usuário foi concluído.
539 Falha de logon. A conta foi bloqueada no momento em que foi feita a tentativa de logon.
540 Um usuário fez logon com sucesso na rede.
541 Foi concluída a autenticação do Internet Key Exchange (IKE) de modo principal entre o computador local e a identidade dos computadores listados (estabelecendo uma associação de segurança), ou o modo rápido estabeleceu um canal de dados.
542 Um canal de dados foi finalizado.
543 O modo principal foi finalizado.

Observação

· Isso pode ocorrer porque o limite de tempo da associação de segurança expirou (o padrão é 8 horas), devido a alterações nas diretivas ou ao desligamento do computador.

544 Falha da autenticação do modo principal porque o computador não forneceu um certificado válido ou a a assinatura não foi validada.
545 Falha na autenticação do modo principal devido a uma falha do Kerberos ou porque a senha era inválida.
546 Falha ao estabelecer a associação de segurança IKE porque o computador enviou uma proposta inválida. Foi recebido um pacote contendo dados inválidos.
547 Ocorreu uma falha durante um handshake do IKE.
548 Falha de logon. A identificação de segurança (SID) de um domínio confiável não corresponde à SID do domínio da conta do cliente.
549 Falha de logon. Todas as SIDs correspondentes a espaços para nome não-confiáveis foram filtrados durante a autenticação entre florestas.
550 Mensagem de notificação que pode indicar um possível ataque de negação de serviço.
551 Um usuário iniciou um processo de logoff.
552 Um usuário fez logon com sucesso a um computador que usa credenciais explícitas enquanto já havia feito logon como um usuário diferente.
682 Um usuário reconectou-se com uma sessão do Terminal Server desconectada.
683 Um usuário desconectou uma sessão do Terminal Server sem fazer logoff.

Observação

· Esse evento é gerado quando um usuário é conectado a uma sessão do Terminal Server pela rede. Ele aparece no Terminal Server.

Quando um evento 528 é registrado, um tipo de logon também é listado no log de eventos. A tabela a seguir describe cada tipo de logon.

 

Tipo de logon Nome do logon Descrição
2 Interactive Um usuário fez logon nesse computador.
3 Network Um usuário ou computador fez logon nesse computador a partir da rede.
4 Batch O tipo de logon Batch é usado por servidores batch quando podem haver processos sendo executados em nome de um usuário sem a sua intervenção direta.
5 Service Um serviço foi iniciado pelo Gerenciador de Controle de Serviços.
7 Unlock Essa estação de trabalho foi desbloqueada.
8 NetworkCleartext Um usuário fez logon nesse computador a partir da rede. A senha do usuário foi transmitida ao pacote de autenticação em sua forma sem hash. Todos os pacotes de autenticação internos aplicam hash em credenciais antes de enviá-las pela rede. As credenciais não precisam atravessar a rede em texto simples (também conhecido como texto não criptografado).
9 NewCredentials Um chamador clonou seu token atual e especificou novas credenciais para conexões de saída. A nova sessão de logon possui a mesma identidade local, mas usa credenciais diferentes para outras conexões de rede.
10 RemoteInteractive Um usuário fez logon nesse computador remotamente usando serviços de terminal ou área de trabalho remota.
11 CachedInteractive Um usuário fez logon nesse computador com credenciais de rede que estavam armazenadas localmente no computador. O controlador do domínio não foi contatado para verificar as credenciais.

 

Eventos de Logon

 

Essa configuração de segurança determina se deve ser feita a auditoria de cada instância de logon ou logoff do usuário em outro computador na qual esse computador seja usado para validar a conta. Eventos de logon de conta são gerados quando uma conta de usuário do domínio é autenticada em um controlador de domínio. O evento é registrado no log de segurança do controlador de domínio. Os eventos de logon são gerados quando um usuário local é autenticado em um computador local. O evento é registrado no log de segurança local. Eventos de logoff de conta não são gerados.

Se você definir esta configuração de diretiva, poderá especificar se haverá auditoria de acessos com êxito, acessos sem êxito ou se não ocorrerá auditoria desse tipo de evento. As auditorias com êxito geram uma entrada de auditoria quando uma tentativa de logon de conta é bem-sucedida. As auditorias sem êxito geram uma entrada de auditoria quando uma tentativa de logon de conta apresenta falhas.

 

 

Eventos de logon de conta Descrição
672 Uma permissão de serviço de autenticação (AS) foi emitida e validada com sucesso.
673 Foi concedida uma permissão ao serviço de concessão de permissão (TGS).
674 Um objeto de segurança renovou uma permissão AS ou TGS.
675 Falha de pré-autenticação. Esse evento é gerado em um centro de distribuição de chaves (KDC) quando um usuário digita uma senha incorreta.
676 Falha na solicitação da permissão de autenticação. Esse evento não é gerado no Windows XP nem na família Windows Server 2003.
677 Não foi concedida uma permissão TGS. Esse evento não é gerado no Windows XP nem na família Windows Server 2003.
678 A conta foi mapeada com sucesso como uma conta do domínio.
681 Falha de logon. Foi feita uma tentativa de logon na conta do domínio. Esse evento não é gerado no Windows XP nem na família Windows Server 2003.
682 Um usuário reconectou-se a uma sessão do Terminal Server desconectada.
683 Um usuário desconectou uma sessão do Terminal Server sem fazer logoff.

Artigo migrado – 16586  acessos até a data de migração.