Tenho uma instalação relativamente nova do Windows 7 Professional de 64 bits com todos os patches aplicados. Estou tentando testar eventos de falha de logon para ver como eles são e como ficarão em nossa ferramenta de gerenciamento de log. Para testar, bloqueei a tela, digitei uma senha incorreta (que dava a mensagem de falha, é claro) e fiz login corretamente. Em seguida, verifiquei o visualizador de eventos e, para minha surpresa, não houve eventos de falha de logon nos logs de segurança, mas houve vários eventos de logon bem-sucedidos!
Editar: Desculpe, enviado acidentalmente. De qualquer forma, alguém sabe por que isso acontece? Não consigo encontrar nada no sistema ou no aplicativo. Parece um grande descuido que os eventos de falha de logon não sejam armazenados por padrão.
Além disso, aqui estão os eventos que vejo em ordem cronológica associados ao logon bem-sucedido:
- Código: 4648 - Auditoria bem-sucedida: foi feita uma tentativa de logon usando credenciais explícitas.
- Código: 4624 - Sucesso na auditoria: uma conta foi conectada com sucesso.
- Código: 4624 - Sucesso na auditoria: uma conta foi conectada com sucesso.
- Código: 4672 - Sucesso na Auditoria: Privilégios especiais atribuídos ao novo logon.
- Código: 4634 - Sucesso na auditoria: uma conta foi desconectada.
- Código: 4634 - Sucesso na auditoria: uma conta foi desconectada.
Essas duas mensagens "a conta foi desconectada" também não fazem muito sentido para mim, mas ocorrem exatamente ao mesmo tempo que os eventos de logon...
Responder1
No Editor de Política de Grupo:
Computer Configuration
Windows Settings
Security Settings
Local Policies
Audit Policy
A configuração que você está procurando é "Eventos de logon de auditoria" - você pode configurá-la para fazer logon com sucesso ou falha individualmente.