доверительное отношение домену;
4713 Kerberos политика была изменена;
4715 Аудит политика (SACL) для объекта была изменена;
4724 Попытка сброса пароля;
4727 Создана «security-enabled global» группа;
4739 Изменена политика домена (Domain Policy);
4780 ACL установлена для учетной записи группы администраторов;
4865 Добавлена информация, относительно «trusted forest»;
4867 Изменена информация, относительно «trusted forest»;
4907 Настройки аудита объекта изменены;
6145 Ошибки при обработке security policy групповых политик;
4609 Windows выключен;
4624 Учетная запись удачно вошла в систему;
4625 Запись «failed to log on» находясь в статусе «locked out»;
4634 Учетная запись вышла из системы;
4648 A logon attempted using explicit credentials.
4720 Создана пользовательская учетная запись;
4722 Пользовательская учетная запись активирована;
4723 Попытка изменения пароля учетной записи;
4724 Пароль сброшен другой учетной записью;
4725 Пользовательская учетная запись отключена;
4726 Пользовательская учетная запись удалена;
4728 Добавлен объект в «security-enabled global» группу;
4729 Объект удален из «security-enabled global» группы;
4730 «A security-enabled global» группа удалена;
4731 «A security-enabled local» группа создана;
4732 Добавлен объект в «security-enabled local» группу;
4733 Объект удален из «security-enabled local» группы;
4734 «A security-enabled local» группа удалена;
4738 Пользовательская учетная запись изменена;
4740 Пользовательская учетная запись заблокирована;
4741 Компьютерная учетная запись изменена;
4742 Компьютерная учетная запись изменена;
4743 Компьютерная учетная запись удалена;
4756 Объект добавлен в «security-enabled universal» группу;
4757 Объект удален из «security-enabled universal» группы;
4767 Пользовательская учетная запись разблокирована;
4781 Имя пользовательской учетной записи изменено;
4798 A user’s local group membership was enumerated
4799 Изменения в группе администраторов (A security-enabled local group membership (BUILTIN\Administrators) was enumerated)
4800 Компьютер заблокирован
4801 Компьютер разблокирован
Средства мониторинга и контроля
Штатные средства мониторинга системы и/или специализированные средства (SCOM). Помимо базовых событий сервера, необходимо мониторить события (ошибки и предупреждения) следующих источников: DFS Replication, Directory Service и File Replication Service.
Управление
Настройка серверов происходит через консоль выделенной рабочей станции управления (Dedicated Administration Workstation DAW), подключенную в сегмент «Управления». Административные задачи, такие как создание пользователей, смена членство в группах и т п, должны быть делегированы соответствующим группам.
Отчетность по сервису
Отчеты по сервису могут включать в себя такие метрики как количество пользователей и их статус, количество отказов и простоя сервиса, работы, проводимые по улучшению сервису, инциденты информационной безопасности и т п.
Рекомендации
Следующие правила и настройки позволяют повысить уровень безопасности сервиса:
•Не устанавливать дополнительные сервисы;
•Использовать установку Server Core;
•Для