ID de evento do Windows 4624 – Login bem-sucedido
Introdução
O ID de evento 4624 (visualizado no Visualizador de eventos do Windows) documenta todas as tentativas bem-sucedidas de login em um computador local. Esse evento é gerado no computador que foi acessado, ou seja, onde a sessão de login foi criada. Um evento relacionado, ID de evento 4625 documenta falha nas tentativas de login.
O evento 4624 se aplica aos seguintes sistemas operacionais: Windows Server 2008 R2 e Windows 7, Windows Server 2012 R2 e Windows 8.1 e Windows Server 2016 e Windows 10. Os eventos correspondentes no servidor Windows 2003 e versões anteriores incluíam 528 e 540 para logins bem-sucedidos.
O ID de evento 4624 parece um pouco diferente no servidor Windows 2008, 2012 e 2016. Os campos importantes em cada uma dessas versões estão destacados nas capturas de tela abaixo.
Evento 4624 (Windows 2008)
Evento 4624 (Windows 2012)
Evento 4624 (Windows 2016)
Descrição dos campos de evento
As informações importantes que podem derivar do evento 4624 incluem:
- • Tipo de login: Este campo revela o tipo de login ocorrido. Em outra palavras, ele aponta como o usuário fez login. Há um total de nove tipos diferentes de login. Os tipos de login mais comuns são: login tipo 2 (interativo) e login tipo 3 (rede). Qualquer tipo de login diferente de 5 (que denota uma inicialização de serviço) é um sinal de alerta.
- • Novo login: Essa seção revela o nome da conta do usuário para quem o novo login foi criado e o ID de login, um valor hexadecimal que ajuda a correlacionar este evento com outros eventos.
| Tipo de login | Descrição |
|---|---|
| 2 |
- Login interativo
Ocorre quando um usuário faz login usando o teclado e a tela locais de um computador. |
| 3 |
+ Login de rede
Ocorre quando um usuário acessa impressoras ou compartilhamentos de arquivos remotos. Além disso, a maioria dos logins nos Serviços de Informações da Internet (IIS) são classificados como logins de rede (exceto os logins do IIS, que são registrados como tipo de login 8). |
| 4 |
+ Login de lote
Ocorre durante tarefas agendadas, ou seja, quando o serviço Windows Scheduler inicia uma tarefa agendada. |
| 5 |
+ Login de serviço
Ocorre quando serviços e contas de serviço fazem login para iniciar um serviço. |
| 7 |
+ Login de desbloqueio
Ocorre quando um usuário desbloqueia a máquina Windows. |
| 8 |
+ Login NetworkClearText
Ocorre quando um usuário faz login em uma rede e a senha é enviada em texto não criptografado. Na maioria das vezes, indica um login no IIS usando "autenticação básica". |
| 9 |
+ Login NewCredentials
Ocorre quando um usuário executa um aplicativo usando o comando RunAs e especifica a opção /netonly. |
| 10 |
+ Login RemoteInteractive
Ocorre quando um usuário faz login no computador usando aplicativos baseados em RDP, como serviços de terminal, área de trabalho remota ou assistência remota. |
| 11 |
+ Login CachedInteractive
Ocorre quando um usuário faz login no computador usando credenciais de rede armazenadas localmente no computador (ou seja, o controlador de domínio não foi contatado para verificar as credenciais). |
Outras informações que podem ser obtidas do evento 4624:
- • A seção Assunto revela a conta no sistema local (não o usuário) que solicitou o login.
- • A seção Nível de representação revela até que ponto um processo na sessão de login pode representar um cliente. Os níveis de representação determinam as operações que um servidor pode realizar no contexto do cliente.
- • A seção Informações do processo revela detalhes sobre o processo que tentou o login.
- • A seção Informações da rede revela onde o usuário estava quando fez login. Se o login tiver sido iniciado no mesmo computador, essas informações ficarão em branco ou refletirão o nome da estação de trabalho do computador local e o endereço da rede de origem.
- • As Informações de autenticação revelam informações sobre o pacote de autenticação usado para login.
Razões para monitorar logins bem-sucedidos
Segurança
Para impedir abuso de privilégios, as organizações precisam estar atentas às ações que os usuários privilegiados estão realizando, começando pelos logins.
Para detectar atividades anormais e potencialmente maliciosas, como um login de uma conta inativa ou restrita, usuários que fazem login fora do horário normal de trabalho, logins simultâneos em muitos recursos, etc.
Operacional
Para obter informações sobre a atividade do usuário, como frequência do usuário, horários de pico de login, etc.
Conformidade
Para cumprir os mandatos regulatórios, são necessárias informações precisas sobre logins bem-sucedidos.
A necessidade de uma ferramenta de terceiros
Em um ambiente de TI típico, o número de eventos com ID 4624 (logins bem-sucedidos) pode chegar a milhares por dia. No entanto, todos esses eventos de login bem-sucedidos não são importantes; mesmo os acontecimentos importantes são inúteis isolados, sem qualquer ligação estabelecida com outros acontecimentos.
Por exemplo, embora o evento 4624 seja gerado quando uma conta faz login e o evento 4647 seja gerado quando uma conta faz logout, nenhum desses eventos revela a duração da sessão de login. Para saber a duração do login, você precisa correlacionar o evento 4624 com o evento 4647 correspondente usando o ID de login.
Portanto, a análise e a correlação do evento precisam ser realizadas. Ferramentas nativas e scripts do PowerShell exigem conhecimento e tempo quando empregados para esse fim e, portanto, uma ferramenta de terceiros é realmente indispensável.
Ao aplicar aprendizado de máquina, o ADAudit Plus cria uma linha de base de atividades normais específicas para cada usuário e só notifica o pessoal de segurança quando há um desvio desta norma.
Por exemplo, um usuário que acessa consistentemente um servidor crítico fora do horário comercial não acionaria um alerta de falso-positivo porque esse comportamento é típico desse usuário. Por outro lado, o ADAudit Plus alertaria instantaneamente as equipes de segurança quando o mesmo usuário acessasse aquele servidor em um horário em que nunca o havia acessado antes, mesmo que o acesso ocorresse dentro do horário comercial.
Se você quiser explorar o produto por si mesmo, faça download da avaliação gratuita totalmente funcional de 30 dias.
Se você quiser que um especialista o conduza por um tour personalizado pelo produto, agende uma demonstração.
Os 8 eventos de segurança mais críticos do Windows que você deve monitorar.
Obrigado pelo seu interesse!
Enviamos o guia para sua caixa de entrada.
Obrigado pela visita.
Antes de sair, confira nosso guia sobre os 8 eventos de segurança mais críticos do Windows que você deve monitorar.
Empresas que confiam no ADAudit Plus
Atenda a todas as necessidades de auditoria e segurança de TI
com o ADAudit Plus.
- Active Directory
- Servidores de arquivos
- Servidor Windows
- Workstation
- Conformidade
- Produtos relacionados
- Monitoramento do Active Directory
- Auditoria de mudança do Active Directory
- Analisador de bloqueio de conta
- Auditoria do Azure AD
- Monitoramento da área de trabalho remota
- Software para monitoramento de login
- Rastreador de logon/logoff do AD
- Auditoria das falhas de logon do usuário
- Ferramenta de rastreamento do histórico de login
- Relatórios de auditoria de logon do usuário
- Auditoria e geração de relatórios do AD
- Auditoria do servidor de arquivos do Windows
- Monitoramento de acesso de arquivos
- Monitoramento da integridade do arquivo
- Gerenciamento de acesso e identidade integrado (AD360)
- Gerenciamento de senhas por autoatendimento
- Ferramenta de backup e recuperação do Active Directory
- Solução de auditoria e gerenciamento do SharePoint
- Todas as ferramentas do Windows AD
- Mitigação abrangente de ameaças e SIEM (Log360)
- Solução de relatórios e análise de log em tempo real
- Auditoria e geração de relatórios do Exchange Server
- Segurança na nuvem e gerenciamento de logs
- Relatórios e gerenciamento do Active Directory
- Ferramenta de auditoria e gerenciamento do Microsoft 365
- Auditoria e descoberta de dados no servidor de arquivos
- Ferramentas gratuitas do Active Directory