我有一个相对较新的 Windows 7 Professional 64 位安装,并且已应用所有补丁。我正在尝试测试登录失败事件,以查看它们是什么样子以及它们在我们的日志管理工具中会是什么样子。为了进行测试,我锁定了屏幕,输入了一个错误的密码(当然,这会显示失败消息),然后正确登录。然后我检查了事件查看器,令我惊讶的是,安全日志中没有登录失败事件,但确实有几个成功的登录事件!
编辑:抱歉,不小心提交了。无论如何,有人知道为什么会这样吗?我在系统或应用程序中都找不到任何东西。默认情况下不存储登录失败事件似乎是一个巨大的疏忽。
此外,以下是我按时间顺序看到的与成功登录相关的事件:
- 代码:4648 - 审核成功:尝试使用明确的凭据登录。
- 代码:4624 - 审核成功:帐户已成功登录。
- 代码:4624 - 审核成功:帐户已成功登录。
- 代码:4672 - 审核成功:为新登录分配了特殊权限。
- 代码:4634 - 审计成功:帐户已注销。
- 代码:4634 - 审计成功:帐户已注销。
这两条“帐户已注销”消息对我来说也没有多大意义,但它们与登录事件同时发生......
答案1
在组策略编辑器中:
Computer Configuration
Windows Settings
Security Settings
Local Policies
Audit Policy
您正在寻找的设置是“审核登录事件” - 您可以将其设置为单独登录成功或失败。