Ich habe eine relativ neue 64-Bit-Installation von Windows 7 Professional mit allen installierten Patches. Ich versuche, Anmeldefehler zu testen, um zu sehen, wie sie aussehen und wie sie in unserem Protokollverwaltungstool aussehen werden. Zum Testen habe ich den Bildschirm gesperrt, ein falsches Passwort eingegeben (was natürlich die Fehlermeldung auslöste) und mich dann ordnungsgemäß angemeldet. Dann habe ich die Ereignisanzeige überprüft und zu meiner Überraschung gab es in den Sicherheitsprotokollen keine Anmeldefehler, aber mehrere erfolgreiche Anmeldeereignisse!
Bearbeiten: Entschuldigung, versehentlich abgeschickt. Weiß trotzdem jemand, warum das so ist? Ich kann weder im System noch in der Anwendung etwas finden. Es scheint ein großes Versehen zu sein, dass Anmeldefehler nicht standardmäßig gespeichert werden.
Hier sind außerdem die Ereignisse, die ich in chronologischer Reihenfolge sehe und die mit der erfolgreichen Anmeldung in Zusammenhang stehen:
- Code: 4648 – Prüfung erfolgreich: Es wurde ein Anmeldeversuch mit expliziten Anmeldeinformationen unternommen.
- Code: 4624 – Prüfung erfolgreich: Ein Konto wurde erfolgreich angemeldet.
- Code: 4624 – Prüfung erfolgreich: Ein Konto wurde erfolgreich angemeldet.
- Code: 4672 – Prüfung erfolgreich: Der neuen Anmeldung wurden Sonderberechtigungen zugewiesen.
- Code: 4634 – Prüfung erfolgreich: Ein Konto wurde abgemeldet.
- Code: 4634 – Prüfung erfolgreich: Ein Konto wurde abgemeldet.
Diese beiden „Konto wurde abgemeldet“-Meldungen machen für mich auch nicht viel Sinn, aber sie treten genau zur gleichen Zeit auf wie die Anmeldeereignisse …
Antwort1
Im Gruppenrichtlinien-Editor:
Computer Configuration
Windows Settings
Security Settings
Local Policies
Audit Policy
Die gesuchte Einstellung ist „Anmeldeereignisse überwachen“ – Sie können sie so einstellen, dass bei Erfolg oder Fehler einzeln protokolliert wird.