Eu tenho uma instalação relativamente nova do Windows 7 Professional de 64 bits com todos os patches aplicados. Eu estou tentando testar eventos de falha de logon para ver como eles são e como eles serão exibidos em nossa ferramenta de gerenciamento de logs. Para testar, tranquei a tela, digitei uma senha incorreta (que deu a mensagem de falha, é claro) e, em seguida, efetuei o login corretamente. Em seguida, verifiquei o visualizador de eventos e, para minha surpresa, não houve eventos de falha de logon nos logs de segurança, mas ele teve vários eventos de logon bem-sucedidos!
Edit: Desculpe, enviado acidentalmente. De qualquer forma, alguém sabe por que esse é o caso? Não consigo encontrar nada no sistema ou no aplicativo. Parece um grande descuido que os eventos de falha de logon não sejam armazenados por padrão.
Além disso, aqui estão os eventos que vejo em ordem cronológica associados ao logon bem-sucedido:
- Código: 4648 - sucesso de auditoria: um logon foi tentado usando credenciais explícitas.
- Código: 4624 - Sucesso da Auditoria: Uma conta foi registrada com sucesso.
- Código: 4624 - Sucesso da Auditoria: Uma conta foi registrada com sucesso.
- Código: 4672 - sucesso de auditoria: privilégios especiais atribuídos ao novo logon.
- Código: 4634 - Sucesso da Auditoria: Uma conta foi desconectada.
- Código: 4634 - Sucesso da Auditoria: Uma conta foi desconectada.
Essas duas mensagens "a conta foi desconectada" também não fazem muito sentido para mim, mas estão exatamente no mesmo momento que os eventos de logon ...