Как сделать чтоб указывалась учетная запись при аудите отказа?

Question

Camry15 @Camry15

Информационная безопасность

Как сделать чтоб указывалась учетная запись при аудите отказа?

Настраивал аудит входа в систему. Для проверки решит неправильно ввести пароль пару раз, потом в журнале событий, в аудите отказа входа, заметил что поле с именем учетной записи не указано. Как это исправить, чтоб указывалось какой пользователь пытался войти?

Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 28.04.2020 16:56:48
Код события: 4625
Категория задачи:Logon
Уровень: Сведения
Ключевые слова:Аудит отказа
Пользователь: Н/Д
Компьютер: DESKTOP-BITQR9N
Описание:
Учетной записи не удалось выполнить вход в систему.

Субъект:
ИД безопасности: СИСТЕМА
Имя учетной записи: DESKTOP-BITQR9N$
Домен учетной записи: WORKGROUP
Код входа: 0x3E7

Тип входа: 2

Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -

Сведения об ошибке:
Причина ошибки: Ошибка при входе.
Состояние: 0xC000006D
Подсостояние: 0xC0000380

Сведения о процессе:
Идентификатор процесса вызывающей стороны: 0x6c0
Имя процесса вызывающей стороны: C:\Windows\System32\svchost.exe

Сведения о сети:
Имя рабочей станции: -
Сетевой адрес источника: 127.0.0.1
Порт источника: 0

Сведения о проверке подлинности:
Процесс входа: User32
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).

В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.

Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
Xml события:

4625
0
0
12544
0
0x8010000000000000

946154

Security
DESKTOP-BITQR9N

S-1-5-18
DESKTOP-BITQR9N$
WORKGROUP
0x3e7
S-1-0-0
-
-
0xc000006d
%%2304
0xc0000380
2
User32
Negotiate
-
-
-
0
0x6c0
C:\Windows\System32\svchost.exe
127.0.0.1
0