稽核驗證的帳號登入與稽核登入事件

在實作 Windows帳戶安全性中, 稽核驗證的帳號登入與稽核登入事件是兩個常見的稽核項目, 主要用於追蹤使用者登入行為, 幫助系統管理員監控與偵測潛在安全威脅:

稽核驗證的帳號登入(Audit Account Logon Events)

這個稽核項目是用來追蹤帳號在被驗證(Authentication)時的行為, 也就是說它是記錄「帳號是否成功通過驗證」的事件, 通常發生在:

。網域控制站: 驗證網域帳號的登入

。本機電腦: 若是登入本機帳號, 會在本機紀錄

記錄事件的情境:

。使用者輸入正確或錯誤密碼登入

。其他服務(如 FTP、RDP)驗證使用者身份

。Kerberos、NTLM 驗證過程的相關紀錄

w-studio.idv.tw

稽核登入事件(Audit Logon Events)

這個稽核項目是用來追蹤使用者登入系統的實際行為, 例如登入桌面、連接遠端桌面、解鎖螢幕等, 這記錄的是登入系統或使用系統資源的實體動作, 而非僅是帳號驗證

記錄事件的情境:

。使用者登入本機或遠端桌面

。網路連線觸發登入事件(例如存取共享資料夾)

。使用者登出、鎖定、解除鎖定螢幕