ID evento 4624
Active Directory Audit » ID evento 4624

ID evento 4624 di Windows: accesso riuscito

Introduzione

L'ID evento 4624 (nel visualizzatore eventi di Windows) indica ogni tentativo riuscito di accesso a un computer locale. L'evento viene generato nel computer a cui è stato effettuato l'accesso; in altre parole, dove è stata creata la sessione di accesso. Un evento correlato, ID evento 4625 indica i tentativi di accesso non riusciti.

L'evento 4624 si applica ai seguenti sistemi operativi: Windows Server 2008 R2 e Windows 7, Windows Server 2012 R2 e Windows 8.1, Windows Server 2016 e Windows 10. Gli eventi corrispondenti in Windows Server 2003 e precedenti includevano sia 528 che 540 per gli accessi riusciti.

L'ID evento 4624 appare leggermente diverso in Windows Server 2008, 2012 e 2016. Nelle schermate più in basso sono evidenziati i campi importanti di queste versioni.

Evento 4624 (Windows 2008)

Evento 4624 (Windows 2008)

Evento 4624 (Windows 2012)

Evento 4624 (Windows 2016)

Descrizione dei campi degli eventi

Le informazioni importanti che possono essere ottenute dall'evento 4624 includono:

  • Tipo di accesso: Questo campo indica il tipo di accesso effettuato. In altre parole, indica come l'utente ha effettuato l'accesso. Esistono in totale 9 tipi di accesso; i più frequenti sono quelli di tipo 2 (interattivo) e di tipo 3 (rete). Ogni altro tipo di accesso, (escluso il 5 che indica l'avvio del servizio) è un segnale d'allarme.
  • Nuovo accesso: Questa sezione indica il Nome dell’account dell'utente per cui è stato creato il nuovo accesso e l'ID di accesso, un valore esadecimale che aiuta a correlare questo evento con altri eventi.
Tipo di accesso Descrizione
2
- Accesso interattivo

Avviene quando un utente effettua l'accesso utilizzando la tastiera e lo schermo di un computer locale.
3
+ Accesso di rete

Si verifica quando un utente accede a condivisioni di file o stampanti remote. Inoltre, la maggior parte degli accessi a Internet Information Services (IIS) è classificata come accesso alla rete (ad eccezione degli accessi IIS registrati come tipo di accesso 8).
4
+ Accesso batch

Si verifica durante le attività pianificate, ovvero quando il servizio Utilità di pianificazione di Windows avvia un'attività pianificata.
5
+ Accesso di servizio

Si verifica quando i servizi e gli account di servizio accedono per avviare un servizio.
7
+ Accesso di sblocco

Si verifica quando un utente sblocca il proprio computer Windows.
8
+ Accesso NetworkClearText

Occurs when a user logs on over a network and the password is sent in clear text. Most often indicates a logon to IIS using "basic authentication."
9
+ Accesso NewCredentials

Si verifica quando un utente esegue un'applicazione utilizzando il comando RunAs e specifica l'opzione /netonly.
10
+ Accesso RemoteInteractive

Si verifica quando un utente accede al proprio computer utilizzando applicazioni basate su RDP come Servizi terminal, Desktop remoto o Assistenza remota.
11
+ Accesso CachedInteractive

Si verifica quando un utente accede al proprio computer utilizzando le credenziali di rete archiviate localmente nel computer (ovvero il controller di dominio non è stato contattato per verificare le credenziali).

Altre informazioni che possono essere ottenute dall'evento 4624:

  • La sezione del soggetto indica l'account del sistema locale (non l'utente) che ha richiesto l'accesso.
  • La sezione del livello di impersonificazione indica la misura nella quale un processo nella sessione di accesso può impersonare un client. Il livello di impersonificazione determina le operazioni che un server può effettuare nel contesto di un client.
  • La sezione delle informazioni sul processo indica i dettagli relativi al processo che ha effettuato il tentativo di accesso.
  • La sezione delle informazioni di rete indica dove si trovava l'utente quando ha effettuato l'accesso. Se l'accesso è stato avviato dallo stesso computer, queste informazioni sono vuote o rappresentano il nome della workstation del computer locale e l'indirizzo di rete di origine.
  • Le informazioni di autenticazione indicano il pacchetto di autenticazione utilizzato per l'accesso.

Motivi per tenere sotto controllo gli accessi riusciti

  Sicurezza

Per impedire l'abuso dei privilegi, le organizzazioni devono fare attenzione alle azioni compiute dagli utenti con privilegi, partendo dagli accessi.

Per individuare le attività anomale e potenzialmente malevole, come un accesso da un account inattivo o con restrizioni, utenti che accedono al di fuori dell'orario lavorativo, accessi contemporanei a molte risorse, ecc.

  Operativo

Per ottenere informazioni sulle attività degli utenti come la partecipazione degli utenti, gli orari di picco degli accessi, ecc.

  Conformità

Per essere conformi alle normative che richiedono informazioni precise riguardo agli accessi riusciti.

Necessità di uno strumento di terze parti

In un tipico ambiente IT, il numero di eventi con ID 4624 (accessi riusciti) può essere nell'ordine delle migliaia al giorno. Tuttavia, tutti questi eventi di accesso riuscito non sono importanti; anche gli eventi importanti sono inutili quando sono isolati, senza connessione con altri.

Per esempio, nonostante l'evento 4624 venga generato quando un account accede e l'evento 4647 quando si scollega, nessuno di questi eventi rivela la durata della sessione di accesso. Per scoprire la durata dell'accesso, è necessario correlare l'evento 4624 con il corrispondente evento 4647 utilizzando l'ID dell'accesso.

Sono necessarie l'analisi e la correlazione degli eventi. Gli strumenti nativi e gli script PowerShell richiedono competenze e tempo, quindi uno strumento di terze parti è davvero indispensabile.

Grazie all'apprendimento automatico, ADAudit Plus crea una linea di partenza delle normali attività relative a ogni utente e invia una notifica al personale di sicurezza solo quando si presentano deviazioni rispetto alla normalità.

Per esempio, un utente che accede spesso a un server critico al di fuori dell'orario lavorativo non genera un falso positivo perché quel comportamento è tipico di quell'utente. D'altra parte, ADAudit Plus avvisa immediatamente i team di sicurezza quando lo stesso utente accede allo stesso server in un orario in cui non effettua mai l'accesso, anche se è all'interno dell'orario lavorativo.

Se vuoi esplorare tu stesso il prodotto, scarica la versione di prova gratuita di 30 giorni completamente funzionante.

Se vuoi che un esperto ti guidi attraverso un tour personalizzato del prodotto, programma una demo.