O ID de evento 4624 (visualizado no Visualizador de eventos do Windows) documenta todas as tentativas bem-sucedidas de login em um computador local. Esse evento é gerado no computador que foi acessado, ou seja, onde a sessão de login foi criada. Um evento relacionado, ID de evento 4625 documenta falha nas tentativas de login.
O evento 4624 se aplica aos seguintes sistemas operacionais: Windows Server 2008 R2 e Windows 7, Windows Server 2012 R2 e Windows 8.1 e Windows Server 2016 e Windows 10. Os eventos correspondentes no servidor Windows 2003 e versões anteriores incluíam 528 e 540 para logins bem-sucedidos.
O ID de evento 4624 parece um pouco diferente no servidor Windows 2008, 2012 e 2016. Os campos importantes em cada uma dessas versões estão destacados nas capturas de tela abaixo.
As informações importantes que podem derivar do evento 4624 incluem:
Tipo de login | Descrição |
---|---|
2 |
- Login interativo
Ocorre quando um usuário faz login usando o teclado e a tela locais de um computador. |
3 |
+ Login de rede
Ocorre quando um usuário acessa impressoras ou compartilhamentos de arquivos remotos. Além disso, a maioria dos logins nos Serviços de Informações da Internet (IIS) são classificados como logins de rede (exceto os logins do IIS, que são registrados como tipo de login 8). |
4 |
+ Login de lote
Ocorre durante tarefas agendadas, ou seja, quando o serviço Windows Scheduler inicia uma tarefa agendada. |
5 |
+ Login de serviço
Ocorre quando serviços e contas de serviço fazem login para iniciar um serviço. |
7 |
+ Login de desbloqueio
Ocorre quando um usuário desbloqueia a máquina Windows. |
8 |
+ Login NetworkClearText
Ocorre quando um usuário faz login em uma rede e a senha é enviada em texto não criptografado. Na maioria das vezes, indica um login no IIS usando "autenticação básica". |
9 |
+ Login NewCredentials
Ocorre quando um usuário executa um aplicativo usando o comando RunAs e especifica a opção /netonly. |
10 |
+ Login RemoteInteractive
Ocorre quando um usuário faz login no computador usando aplicativos baseados em RDP, como serviços de terminal, área de trabalho remota ou assistência remota. |
11 |
+ Login CachedInteractive
Ocorre quando um usuário faz login no computador usando credenciais de rede armazenadas localmente no computador (ou seja, o controlador de domínio não foi contatado para verificar as credenciais). |
Outras informações que podem ser obtidas do evento 4624:
Segurança
Para impedir abuso de privilégios, as organizações precisam estar atentas às ações que os usuários privilegiados estão realizando, começando pelos logins.
Para detectar atividades anormais e potencialmente maliciosas, como um login de uma conta inativa ou restrita, usuários que fazem login fora do horário normal de trabalho, logins simultâneos em muitos recursos, etc.
Operacional
Para obter informações sobre a atividade do usuário, como frequência do usuário, horários de pico de login, etc.
Conformidade
Para cumprir os mandatos regulatórios, são necessárias informações precisas sobre logins bem-sucedidos.
Em um ambiente de TI típico, o número de eventos com ID 4624 (logins bem-sucedidos) pode chegar a milhares por dia. No entanto, todos esses eventos de login bem-sucedidos não são importantes; mesmo os acontecimentos importantes são inúteis isolados, sem qualquer ligação estabelecida com outros acontecimentos.
Por exemplo, embora o evento 4624 seja gerado quando uma conta faz login e o evento 4647 seja gerado quando uma conta faz logout, nenhum desses eventos revela a duração da sessão de login. Para saber a duração do login, você precisa correlacionar o evento 4624 com o evento 4647 correspondente usando o ID de login.
Portanto, a análise e a correlação do evento precisam ser realizadas. Ferramentas nativas e scripts do PowerShell exigem conhecimento e tempo quando empregados para esse fim e, portanto, uma ferramenta de terceiros é realmente indispensável.
Ao aplicar aprendizado de máquina, o ADAudit Plus cria uma linha de base de atividades normais específicas para cada usuário e só notifica o pessoal de segurança quando há um desvio desta norma.
Por exemplo, um usuário que acessa consistentemente um servidor crítico fora do horário comercial não acionaria um alerta de falso-positivo porque esse comportamento é típico desse usuário. Por outro lado, o ADAudit Plus alertaria instantaneamente as equipes de segurança quando o mesmo usuário acessasse aquele servidor em um horário em que nunca o havia acessado antes, mesmo que o acesso ocorresse dentro do horário comercial.
Se você quiser explorar o produto por si mesmo, faça download da avaliação gratuita totalmente funcional de 30 dias.
Se você quiser que um especialista o conduza por um tour personalizado pelo produto, agende uma demonstração.
Enviamos o guia para sua caixa de entrada.
Antes de sair, confira nosso guia sobre os 8 eventos de segurança mais críticos do Windows que você deve monitorar.