Имея ПК с Windows 10, который в настоящее время не подключен к сети. Политика аудита должна быть и в настоящее время установлена на это:
Account Logon >> Credential Validation - Failure
Account Logon >> Credential Validation - Success
Account Management >> Other Account Management Events - Success
Account Management >> Security Group Management - Success
Account Management >> User Account Management - Failure
Account Management >> User Account Management - Success
Detailed Tracking >> Plug and Play Events - Success
Detailed Tracking >> Process Creation - Success
Logon/Logoff >> Account Lockout - Success
Logon/Logoff >> Group Membership - Success
Logon/Logoff >> Logoff - Success
Logon/Logoff >> Logon - Failure
Logon/Logoff >> Logon - Success
Logon/Logoff >> Special Logon - Success
Object Access >> Removable Storage - Failure
Object Access >> Removable Storage - Success
Policy Change >> Audit Policy Change - Failure
Policy Change >> Audit Policy Change - Success
Policy Change >> Authentication Policy Change - Success
Privilege Use >> Sensitive Privilege Use - Failure
Privilege Use >> Sensitive Privilege Use - Success
System >> IPSec Driver - Failure
System >> IPSec Driver - Success
System >> Other System Events - Success
System >> Other System Events - Failure
System >> Security State Change - Success
System >> Security System Extension - Success
System >> System Integrity - Failure
System >> System Integrity - Success
В системе активны только две учетные записи пользователей: «Администратор» и «ron». Отключенными учетными записями являются «Гость», «DefaultAccount» и «WDAGUtilityAccount». Я зашел в профили пользователей и удалил их все. В настоящее время я вхожу в систему как «Администратор».
После нажатия кнопки включения компьютера я вхожу в систему как администратор и перехожу прямо в средство просмотра событий, всего 1087 событий, и это без каких-либо ошибок.
Из 1087 событий 620 - сбой аудита. Около 615 из них - это событие с идентификатором 4673. Остальные ошибки - 4674.
Ошибка аудита 4673 - это в основном все process name = c:\windows\system32\svchost.exe с почти такой же меткой времени.
Немногочисленные 4674 lsass.exe и есть как один 4673, имеющий lsass.exe
В чем проблема, вызывающая это, и как исправить эти сбои? Потому что это ложные срабатывания правильно?