Eventos de falha de logon no Windows 7 inexistentes?


2

Eu tenho uma instalação relativamente nova do Windows 7 Professional de 64 bits com todos os patches aplicados. Eu estou tentando testar eventos de falha de logon para ver como eles são e como eles serão exibidos em nossa ferramenta de gerenciamento de logs. Para testar, tranquei a tela, digitei uma senha incorreta (que deu a mensagem de falha, é claro) e, em seguida, efetuei o login corretamente. Em seguida, verifiquei o visualizador de eventos e, para minha surpresa, não houve eventos de falha de logon nos logs de segurança, mas ele teve vários eventos de logon bem-sucedidos!

Edit: Desculpe, enviado acidentalmente. De qualquer forma, alguém sabe por que esse é o caso? Não consigo encontrar nada no sistema ou no aplicativo. Parece um grande descuido que os eventos de falha de logon não sejam armazenados por padrão.

Além disso, aqui estão os eventos que vejo em ordem cronológica associados ao logon bem-sucedido:

  • Código: 4648 - sucesso de auditoria: um logon foi tentado usando credenciais explícitas.
  • Código: 4624 - Sucesso da Auditoria: Uma conta foi registrada com sucesso.
  • Código: 4624 - Sucesso da Auditoria: Uma conta foi registrada com sucesso.
  • Código: 4672 - sucesso de auditoria: privilégios especiais atribuídos ao novo logon.
  • Código: 4634 - Sucesso da Auditoria: Uma conta foi desconectada.
  • Código: 4634 - Sucesso da Auditoria: Uma conta foi desconectada.

Essas duas mensagens "a conta foi desconectada" também não fazem muito sentido para mim, mas estão exatamente no mesmo momento que os eventos de logon ...

Respostas:


3

No Editor de Diretiva de Grupo:

Computer Configuration
  Windows Settings
    Security Settings
      Local Policies
        Audit Policy

A configuração que você está procurando é "Eventos de Logon de Auditoria" - você pode configurá-lo para fazer logon no sucesso ou na falha individualmente.


Ah hah! Foi isso! Obrigado. Parece estranho para mim que isso não esteja habilitado por padrão.
Magicked

@Magicked: Não é realmente necessário em computadores pessoais. Tendo acesso físico, é possível ignorar completamente o Windows ... É claro que os controladores de domínio o usam por padrão.
grawity

Eu concordo com @grawity - não há nenhuma razão para isso estar ativado por padrão para uma estação de trabalho autônoma na maioria das situações.
Shinrai
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.