Eventviewer Eventid для блокировки и разблокировки
Что такое идентификатор события в Event Viewer для блокировки, разблокировки для компьютера в Windows XP, Windows 7, Windows Vista и Windows Server 2008?
7 ответов
Идентификатор события блокировки - 4800, а разблокировка - 4801. Вы можете найти их в журналах безопасности. Возможно, вам придется активировать их аудит с помощью локальной политики безопасности (secpol.msc, локальные параметры безопасности в Windows XP) -> локальные политики -> политика аудита.
См. Описание событий безопасности в Windows 7 и Windows Server 2008 R2 в подкатегории: Другие события входа / выхода.
Вам нужно будет включить ведение журнала этих событий. Сделайте это, открыв редактор групповой политики:
запустить -> gpedit.msc
и настройка следующей категории:
Конфигурация компьютера ->
Настройки Windows ->
Настройки безопасности ->
Расширенная настройка политики аудита ->
Политики аудита системы - Объект локальной групповой политики ->
Вход / Выход из системы ->
Аудит Другое Войти / Выйти События
(На вкладке " Объяснение " написано "... позволяет проводить аудит... Блокировка и разблокировка рабочей станции".)
Для более новых версий Windows (включая, помимо прочего, Windows 10 и Windows Server 2016) идентификаторы событий:
- 4800 - Рабочая станция была заблокирована.
- 4801 - Рабочая станция была разблокирована.
Блокировка и разблокировка рабочей станции также включают в себя следующие события входа и выхода:
- 4624 - Учетная запись успешно вошла в систему.
- 4634 - Учетная запись была отключена.
- 4648 - попытка входа в систему с использованием явных учетных данных.
При использовании сеанса служб терминалов блокировка и разблокировка могут также включать в себя следующие события, если сеанс отключен, а событие 4778 может заменить событие 4801:
- 4779 - Сеанс был отключен от оконной станции.
- 4778 - Сеанс был переподключен к оконной станции.
События 4800 и 4801 по умолчанию не проверяются, и их необходимо включить с помощью редактора локальной групповой политики (gpedit.msc) или локальная политика безопасности (secpol.msc).
Путь для политики с использованием редактора локальной групповой политики:
- Политика локального компьютера
- Конфигурация компьютера
- Настройки Windows
- Настройки безопасности
- Расширенная настройка политики аудита
- Политики аудита системы - объект локальной групповой политики
- Вход / выход
- Аудит других событий входа / выхода
Путь для политики, использующей локальную политику безопасности, является следующим подмножеством пути для редактора локальной групповой политики:
- Настройки безопасности
- Расширенная настройка политики аудита
- Политики аудита системы - объект локальной групповой политики
- Вход / выход
- Аудит других событий входа / выхода
К сожалению, нет такой вещи, как блокировка / разблокировка. Что вам нужно сделать, это:
- Нажмите "Фильтровать текущий журнал..."
- Выберите вкладку XML и нажмите "Редактировать запрос вручную"
Введите следующий запрос:
это оно
Для идентификации экрана разблокировки я считаю, что вы можете использовать идентификатор 4624. Но тогда вам также нужно взглянуть на тип входа в систему, который в данном случае равен 7: http://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4624
Идентификатор события для выхода из системы - 4634
Настройки безопасности -> Расширенная политика аудита -> Системный аудит -> Вход / выход из системы -> Аудит других событий входа / выключения -> В случае успеха
Включает следующее:
4800 - workstation locked
4801 - workstation unlocked
4802 - screensaver invoke
4803 - screensaver dismissed
Windows 10 профессиональный
Для Windows 10 идентификатор события для lock=4800 и unlock=4801.
Как сказано в ответе, предоставленном Mario и Пользователем 00000, вам нужно будет включить ведение журнала событий блокировки и разблокировки, используя их метод, описанный выше, запустив gpedit.msc и перейдя к указанной ветке:
Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Конфигурация расширенной политики аудита -> Политики аудита системы - Объект локальной групповой политики -> Вход / Выход из системы -> Аудит другого входа / выхода из системы
Включите как события успеха, так и ошибки.
После включения регистрации этих событий вы можете напрямую отфильтровать события с кодом 4800 и 4801.
Этот метод работает для Windows 10, так как я просто использовал его для фильтрации журналов безопасности после блокировки и разблокировки компьютера.
Используется Windows 10 Home edition. Мне не удалось заставить мою программу просмотра событий фиксировать события 4800 и 4801 даже после установки редактора групповой политики Windows, включения аудита всех соответствующих событий и перезагрузки компьютера. Однако мне удалось обнаружить другие события, связанные с блокировкой и разблокировкой, которые можно использовать в качестве точных и надежных индикаторов того, когда компьютер был заблокирован. См. Конфигурации ниже - первый для PC Locked (событие, связанное с отображением C:\Windows\System32\LogonUI.exe) - а второй - для PC Unlocked (событие для успешного входа в систему).
