- Аудит события входа Audit logon events
- Настройка этого параметра аудита Configure this audit setting
- Ошибка неудачной попытки входа в систему при подключении удаленного рабочего стола 2021
- паÑÐµÐ½Ñ Ð¸Ð· Ð¼Ð¸ÐºÑ -4 вÑодеа
- Ошибка удаленного входа для удаленных подключений
- Регистрация неудачных попыток входа
- 2 ответа 2
- Устранение проблем со входом
Аудит события входа Audit logon events
Область применения Applies to
Определяет, следует ли проверять каждый экземпляр пользователя, войдя в систему или выйдя из нее с устройства. Determines whether to audit each instance of a user logging on to or logging off from a device.
События для регистрации учетной записи создаются на контроллерах домена для действий с учетной записью домена и на локальных устройствах для действий с локальной учетной записью. Account logon events are generated on domain controllers for domain account activity and on local devices for local account activity. Если включены обе категории политики аудита входа и входа, входы в систему, которые используют учетную запись домена, создают событие входа или входа в систему на рабочей станции или сервере, а также создают событие входа в учетную запись на контроллере домена. If both account logon and logon audit policy categories are enabled, logons that use a domain account generate a logon or logoff event on the workstation or server, and they generate an account logon event on the domain controller. Кроме того, интерактивные входы в систему на рядовом сервере или рабочей станции, которые используют учетную запись домена, создают событие входа на контроллере домена при извлечении скриптов и политик входа при входе пользователя в систему. Additionally, interactive logons to a member server or workstation that use a domain account generate a logon event on the domain controller as the logon scripts and policies are retrieved when a user logs on. Дополнительные сведения о событиях для учетной записи для учетной записи см. в записи аудита событий. For more info about account logon events, see Audit account logon events.
Если вы определяете этот параметр политики, вы можете указать, следует ли проверять успехи, сбои аудита или вообще не проверять тип события. If you define this policy setting, you can specify whether to audit successes, audit failures, or not audit the event type at all. Аудит успешности создает запись аудита при успешной попытке входа. Success audits generate an audit entry when a logon attempt succeeds. Аудит сбоев создает запись аудита при неудачной попытке входа. Failure audits generate an audit entry when a logon attempt fails.
Чтобы установить для этого параметра значение «Нетаудита», в **** диалоговом окне «Свойства» **** для этого параметра политики установите флажок «Определить эти параметры политики» и установите флажки «Успешно» и «Сбой». **** To set this value to No auditing, in the Properties dialog box for this policy setting, select the Define these policy settings check box and clear the Success and Failure check boxes.
Дополнительные сведения о дополнительных параметрах политики безопасности для событий входа см. в разделе «Вход и выйдите» в разделе «Дополнительные параметры политики аудита безопасности». For information about advanced security policy settings for logon events, see the Logon/logoff section in Advanced security audit policy settings.
Настройка этого параметра аудита Configure this audit setting
Этот параметр безопасности можно настроить, открыв соответствующую политику в области «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политика аудита». You can configure this security setting by opening the appropriate policy under Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy.
| События для логотипа Logon events | Описание Description |
|---|---|
| 4624 4624 | Пользователь успешно выполнил вход на компьютер. A user successfully logged on to a computer. Сведения о типе логоса см. в таблице «Типы для логотипа» ниже. For information about the type of logon, see the Logon Types table below. |
| 4625 4625 | Ошибка при работе с логотипом. Logon failure. Была предпринята попытка вводить данные с неизвестным именем пользователя или с неизвестным именем пользователя с некаленным паролем. A logon attempt was made with an unknown user name or a known user name with a bad password. |
| 4634 4634 | Для пользователя завершен процесс выйдите из сети. The logoff process was completed for a user. |
| 4647 4647 | Пользователь инициировал процесс выйдите из сети. A user initiated the logoff process. |
| 4648 4648 | Пользователь успешно выполнил вход на компьютер с использованием явных учетных данных, а уже вошел как другой пользователь. A user successfully logged on to a computer using explicit credentials while already logged on as a different user. |
| 4779 4779 | Пользователь отключил сеанс сервера терминалов, не выйдя из системы. A user disconnected a terminal server session without logging off. |
При регистрации события 528 в журнале событий также регистрируется тип входа. When event 528 is logged, a logon type is also listed in the event log. В следующей таблице описаны все типы для логотипа. The following table describes each logon type.
Ошибка неудачной попытки входа в систему при подключении удаленного рабочего стола 2021
паÑÐµÐ½Ñ Ð¸Ð· Ð¼Ð¸ÐºÑ -4 вÑодеа
В прошлом мы говорили вам, как включить или отключить подключение к удаленному рабочему столу и устранить его, когда он часто отключается. При использовании этой функции Remote Desktop на Windows 10 / 8.1 может возникнуть ошибка Ошибка при попытке входа в систему . При удаленном подключении системы с помощью другой итерации, например Windows 7 , она может работать отлично, но с Windows 10 / 8.1 , можно получить эту ошибку.
Чтобы исправить это мы сначала гарантировали, что Брандмауэр Windows был отключен. Мы также попытались использовать приложение для удаленного рабочего стола , но это не имело никаких различий в ситуации. Это решение, упомянутое в потоке Technet , предлагает метод, который может устранить эту проблему.
Ошибка удаленного входа для удаленных подключений
1. Нажмите Windows Key + R , введите Firewall.cpl в Запустить диалоговое окно и нажмите Enter, чтобы открыть Брандмауэр Windows .
2. В приведенном выше показанное окно, нажмите Разрешить приложение или функцию через брандмауэр Windows , вы получите ниже отображаемого окна. Сначала нажмите «Изменить настройки», затем в разделе «Разрешенные приложения и функции» прокрутите список вниз, чтобы найти приложение для удаленного рабочего стола, и поставьте галочку напротив него. Нажмите «ОК».
Перезагрузите компьютер, ваша проблема должна быть исправлена. Однако, если ваш компьютер является частью домена, по умолчанию вам не разрешено сохранять ваши учетные данные при подключении к удаленному компьютеру. Вот как вы можете избавиться от этой проблемы:
3. Вперед, нажмите комбинация клавиш Windows + R , введите put gpedit.msc в Запустите диалоговое окно и нажмите Ввести , чтобы открыть Редактор локальной групповой политики .
4. На левой панели перейдите сюда:
Конфигурация компьютера -> Административные шаблоны -> Система -> Делегирование учетных данных
5. Теперь в правой части этого местоположения найдите параметр политики Разрешить делегирование сохраненных учетных данных с помощью аутентификации сервера NTLM и двойной нажмите здесь. Выберите Включено и нажмите Показать в следующем окне:
6. Наконец, в окне Показать содержимое введите Значение как TERMSRV Computer Name , где вам нужно заменить имя компьютера после TERMSRV . Нажмите OK Применить OK . Закройте Редактор групповой политики .
До сих пор мы закончили исправление проблемы. Все, что вам нужно сделать, это перезагрузить компьютер, ваша проблема должна быть исправлена.
Надеюсь, что это поможет.
UPDATE : Dakota North добавляет комментарии — TERMSRV /*.* является правильным синтаксисом и позволяет всем серверам.
Регистрация неудачных попыток входа
Есть ли какие-нибудь программы, которые сохраняют в файл на рабочем столе все неудачные попытки входа в систему с временной меткой с точность до секунды?
Это необходимо для обнаружения попыток посидеть за моим компьютером во время моего отсутствия.
2 ответа 2
По идее, такое делается при помощи встроенного в систему аудита.
Запустите редактор политик ( Win + R , gpedit.msc ), зайдите в раздел Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Политика аудита\ . Выберите Аудит событий входа в систему .
Двойной клик по этому пункту открывает окошко, в котором вы можете включить/выключить логирование успешных и неуспешных попыток логина:
То же повторите для пункта Аудит входа в систему (это не одно и то же).
Для просмотра лога попыток входа запустите Просмотр событий ( Win + R , eventvwr.msc ) и найдите там ваше событие в Журналы Windows\Безопасность\ . Например, событие входа пользователя в систему имеет код 4648, выхода — 4647.
Плюс к ответу @VladD:
В версиях Windows не поддерживающих работу в домене (ниже уровня Professional), оснастка управления gpedit.exe и групповые политики недоступны. Для версии Win7 и выше (более старых под руками нет, придется проверить самостоятельно если нужно), вместо gpedit.exe используются шаблоны безопасности. Добраться до них можно следующим образом: запускаем mmc.exe -> Файл -> Добавить оснастку -> Шаблоны безопасности -> добавить -> Ok. Создаем новый шаблон и настраиваем аудит, как в ответе у @VladD.
UPD
Забыл написать о том как применить созданный шаблон. Исправляюсь.
Для этого понадобится оснастка Анализ и настройка безопасности. Добавляется в консоль аналогично предыдущей. Работа с данной оснасткой подробно описана тут.
А если кратко:
1. Создать или открыть базу данных политик безопасности. При создании новой базы нужно указать файл шаблона созданный ранее.
2. Анализ компьютера. — сравниваем настройки шаблона с текущими активными и вносим необходимые правки.
3. Настройка компьютера. — применяем измененные настройки.
Для незнакомых с MMC — действия с данной оснасткой производятся с помощью контекстного меню по правому клику на названии оснастки в дереве консоли слева.
Кроме того что системный аудит нормально работает «из коробки», можно настроить триггеры в системном планировщике задач на срабатывание по определенным событиям любого системного лога, включая лог аудита. И вот тут уже можно прописать запуск своей программы, которая должна реагировать на событие.
На правах рекламы: изучите возможности MMC и доступных в вашей версии Windows оснасток. Это сильно упростит управление настройками Windows без необходимости лазить руками в реестр и молиться, что автор рецепта ни где ни чего не напутал, вы все правильно прописали и система не превратится в тыкву после перезагрузки. Хотя шанс последнего остается всегда, поэтому наиболее мощные средства управления, такие как групповые политики, недоступны в домашних версиях.
Устранение проблем со входом
Ниже приведены методы устранения проблем со входом на устройстве с Windows 10, в том числе проблем со входом после обновления до Windows 10.
Если обновления доступны, выберите Выключение > Обновить и перезагрузить для перезапуска устройства и завершите установку обновлений.
Убедитесь, что вы подключены к Интернету, выбрав Сеть на экране блокировки устройства. Если возникают проблемы с подключением к сети Wi-Fi или сигнал слабый, попробуйте подключить устройство непосредственно к маршрутизатору или модему с помощью Ethernet-кабеля.
Если проблема с подключением не будет устранена, проверьте подключение к Интернету с другого устройства, чтобы узнать, нет ли неполадок в сети.
При вводе пароля для входа в систему попробуйте сделать следующее:
Введите пароль с помощью экранной клавиатуры. Выберите Специальные возможности > Экранная клавиатура и введите пароль с помощью соответствующих клавиш.
Убедитесь, что клавиша Caps Lock не нажата.
Проверьте правильность данных, вводимых в полях Пароль и PIN-код. Если вы используете учетную запись Майкрософт, вы можете переключаться между вводом PIN-кода и пароля, выбирая Параметры входа.
Если вы используете более одной раскладки клавиатуры, убедитесь, что выбран язык, который вы пытаетесь использовать. Чтобы проверить раскладку клавиатуры, выберите метод ввода (трехбуквенный код в правом нижнем углу).
Если вы недавно изменили свой пароль, попробуйте еще раз ввести старый. Если старый пароль подходит, заблокируйте устройство, а затем разблокируйте его, используя новый пароль.
Проверьте пароль, войдя с другого устройства на сайт account.microsoft.com. Если пароль подошел, но на сайте account.microsoft.com указано, что ваша учетная запись заблокирована или ее действие приостановлено, выполните указанные на сайте действия, чтобы решить эту проблему.
Перед вводом пароля или PIN-кода выберите Показать . Таким образом вы сможете еще раз проверить пароль или PIN-код перед вводом.
Если на устройстве несколько учетных записей, попробуйте выполнить вход в другую. На экране блокировки выберите другую учетную запись из списка в левом нижнем углу. Для входа в учетную запись, которая отсутствует в списке, выберите Другой пользователь и введите имя пользователя и пароль этой учетной записи.
Запуск устройства в безопасном режиме может помочь устранить проблемы при входе. Если вы можете войти в безопасном режиме, это означает, что основные драйверы устройства и параметры по умолчанию не были причиной проблемы входа в систему.
Примечание: Этот параметр входа в систему будет работать, только если у вас есть пароль (для учетной записи Майкрософт или локальной учетной записи), так как ПИН-код и биометрические функции недоступны.
Для перезапуска в безопасном режиме выполните указанные ниже действия.
Перезагрузите устройство, выбрав Выключение > Перезапуск. На экране входа удерживайте клавишу SHIFT и выберите в это время Выключение > Перезапуск.
После перезагрузки компьютера на экране Выберите параметр выберите элементы Диагностика > Дополнительные параметры > Параметры загрузки > Перезапуск.
После перезагрузки компьютера вы увидите список параметров. Нажмите цифру 5 или клавишу F5, чтобы запустить безопасный режим с подключением к сети.
Узнайте больше о входе в систему в безопасном режиме при возникновении черного экрана или пустого экрана.
Если при попытке входа в Windows 10 появится сообщение об ошибке «Не удается войти в учетную запись», Windows создаст временный профиль и выполнит вход в него. Дополнительные сведения об этой ошибке
Не удается войти в систему на устройстве Surface с помощью Windows Hello? Для устранения проблемы попробуйте следующие решения.
Если вы не можете войти в Windows 10 с помощью ПИН-кода, попробуйте сбросить ПИН-код. Для этого выполните следующие действия.
На экране входа выберите Забыли ПИН-код под текстовым полем ПИН-кода. Если на компьютере используется несколько учетных записей, выберите учетную запись для сброса.
На экране Ввод пароля введите пароль для учетной записи Майкрософт и нажмите Далее.
На экране Помогите защитить ваши данные выберите получение кода безопасности по SMS или электронной почте. Если вы выбрали SMS, введите последние четыре цифры номера телефона и нажмите кнопку Отправить код. Подробнее о сведениях для защиты и кодах безопасности
Когда вы получите код по SMS или электронной почте на отдельном устройстве, введите его на экране Введите код, а затем нажмите кнопку Далее.
В диалоговом окне Настройка ПИН-кода введите новый ПИН-код и подтвердите его. Новый ПИН-код установлен.
Примечание: Убедитесь, что вы подключены к Интернету, выбрав Сеть на экране блокировки устройства.
Способ сброса пароля зависит от того, используете вы для входа учетную запись Майкрософт или локальную учетную запись.
Чтобы узнать, какой у вас тип учетной записи, выберите Параметры входа на экране входа. Если отображается значок Учетная запись Майкрософт , вы используете учетную запись Майкрософт. Если отображается только значок Пароль , у вас или учетная запись домена (рабочая или учебная), или локальная учетная запись.
Если у вас учетная запись Майкрософт
На экране входа введите имя учетной записи Майкрософт, если оно не отображается. Если на компьютере используется несколько учетных записей, выберите учетную запись для сброса.
Выберите Забыли пароль под текстовым полем пароля.
На экране Восстановление учетной записи введите символы, показанные в поле под строкой Введите символы, которые вы видите, а затем нажмите кнопку Далее
На экране Подтвердите свою личность выберите получение кода безопасности по SMS или электронной почте. Если вы выбрали SMS, введите последние четыре цифры номера телефона и нажмите кнопку Отправить код. Подробнее о сведениях для защиты и кодах безопасности
Когда вы получите код по SMS или электронной почте на отдельном устройстве, введите его, а затем нажмите кнопку Далее.
На экране Сброс пароля введите новый пароль и нажмите кнопку Далее. При этом будет установлен новый пароль. Снова нажмите Далее, чтобы вернуться на экран входа в систему.
Войдите в учетную запись Майкрософт с использованием нового пароля.
Если у вас локальная учетная запись
Если вы используете Windows 10 версии 1803 и добавили контрольные вопросы для локальной учетной записи, чтобы упростить сброс пароля, выберите Сбросить пароль на экране входа. (Эта ссылка появляется после ввода неправильного пароля.) Затем введите ответы на секретные вопросы и выберите новый пароль.
Если же вы используете старую версию Windows 10 или еще не успели добавить секретные вопросы, необходимо вернуть устройство в исходное состояние.
Предупреждение: Если устройство работает под управлением Windows 10 версии 1803 и вы создали секретные вопросы, не существует способа восстановить забытый пароль локальной учетной записи. Единственная возможность — вернуть исходное состояние устройства. После описанных ниже действий все программы, данные и параметры будут удалены.
Выберите Выключение в правом нижнем углу экрана блокировки.
Удерживая клавишу Shift, выберите пункт Перезапуск.
В меню Параметры загрузки выберите Устранение неполадок > Вернуть компьютер в исходное состояние > Удалить все.
Компьютер перезагрузится и вернется в исходное состояние.
Если ни один из перечисленных выше способов не помог, получите дополнительные сведения о том, как Изменить или сбросить пароль для Windows.
