Kiểm toán xác thực người dùng

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:174073
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TÓM TẮT
Bài viết này có chứa lời khuyên cho việc giải thích bảo mật kiểm toán các sự kiệnđó có liên quan để xác thực người dùng.

Những sự kiện này tất cả sẽ xuất hiện trong sổ ghi sự kiện bảo mật và sẽ được đăng nhậpvới một nguồn của an ninh.
THÔNG TIN THÊM
EventID  Description-------  -----------  514   An authentication package has been loaded by the LSA  515   A trusted logon process has registered with the LSA  518   A notification package has been loaded by the Security      Account Manager  528   Successful Logon  529   Logon Failure: Unknown user name or bad password  530   Logon Failure: Account logon time restriction violation  531   Logon Failure: Account currently disabled  532   Logon Failure: The specified user account has expired  533   Logon Failure: User not allowed to logon at this computer  534   Logon Failure: The user has not been granted the requested      logon type at this machine  535   Logon Failure: The specified account's password has expired  536   Logon Failure: The NetLogon component is not active  537   Logon Failure: An unexpected error occurred during logon  538   User Logoff  539   Logon Failure: Account locked out  644   User Account Locked Out				
Để biết thêm chi tiết về các sự kiện bảo mật, bấm số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
174074Mô tả sự kiện an ninh

Định danh bảo mật (SIDs)

Một số sự kiện an ninh báo cáo SIDs thay vì của tên người dùng. Trong trường hợp này,người ta thường rất khó để xác định tài khoản người dùng mà được giới thiệuđể trong sự kiện này.

Nó có thể để xây dựng một danh sách các ánh xạ tên người dùng để SIDs bởithực hiện theo các bước sau:
 1. Bãi chứa danh sách người dùng vào một tập tin văn bản với lệnh người dùng NET hoặc với Addusers.exe.
 2. Sửa đổi các tập tin văn bản này để loại bỏ thông tin không mong muốn (tiêu đề, và như vậy ra).
 3. Sửa đổi danh sách kết quả của tên người dùng vào một đợt tập tin, sử dụng các GETSID tài nguyên bộ tiện ích để dịch mỗi tên người dùng vào một SID. Chuyển hướng đầu ra vào một tập tin văn bản.
 4. Khi bạn gặp một SID, tìm kiếm các tập tin văn bản (tạo ra trước đây) cho rằng SID. Điều này sẽ đặt bạn vào phù hợp với tên của người dùng.

Đăng nhập loại

"Đăng nhập loại" sẽ là một trong những điều sau đây:
  2 Interactive  3 Network  4 Batch  5 Service  6 Proxy  7 Unlock Workstation  (0 & 1 are invalid)				

Tiến trình đăng nhập

"Tiến trình đăng nhập" sẽ là một trong những điều sau đây:
 "msv1_0" or "MICROSOFT_AUTHENTICATION_PACKAGE_V1_0":   msv1_0.dll, the default authentication package "KSecDD":   ksecdd.sys, the security device driver "User32" or "WinLogon\MSGina":   winlogon.exe & msgina.dll, the authentication user interface "SCMgr":   The Service Control Manager "LAN Manager Workstation Service" "advapi"  API call to LogonUser "MS.RADIU":  The RADIUS authentication package; a part of the Microsoft Internet  Authentication Services (IAS).				

Người sử dụng quyền

Để biết thêm chi tiết về kiểm toán người dùng thay đổi bên phải, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
163905Kiểm định người dùng chuyển nhượng quyền thay đổi

Thông tin bổ sung

Để biết thêm chi tiết về xác thực người dùng, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
102716NTLM người dùng xác thực trong Windows
Để biết thêm về xác thực trên mạng, bấm số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
122422Ví dụ về đăng nhập từ xa với Windows NT Server
secevent sec

Cảnh báo: Bài viết này được dịch tự động