La ID de evento 4624 (vista en el visor de eventos de Windows) documenta todo intento exitoso de inicio de sesión en un equipo local. Esta acción se genera en un equipo al que se ha accedido, en otras palabras, donde se creó una sesión de inicio de sesión. Un evento relacionado, ID de evento 4625 documenta intentos fallidos de inicio de sesión.
El evento 4624 aplica a los siguientes sistemas operativos: Windows Server 2008 R2 y Windows 7, Windows Server 2012 R2 y Windows 8.1, y Windows Server 2016 Windows 10. Los eventos correspondientes en Windows Server 2003 y anteriores incluyen 528 y 540 para inicios de sesión correctos.
La ID de evento 4624 luce un poco distinta en Windows Server 2008, 2012 y 2016. En las siguientes capturas de pantalla se han resaltado los campos importantes en cada una de las versiones.
Evento 4624 (Windows 2008)
Evento 4624 (Windows 2012)
Evento 4624 (Windows 2016)
La información importante que se puede derivar del Evento 4624 incluye:
| Tipo de inicio de sesión | Descripción |
|---|---|
| 2 |
- Inicio de sesión interactivo
Ocurre cuando un usuario inicia sesión con el teclado y pantalla locales del equipo. |
| 3 |
+ Inicio de sesión de red
Tiene lugar cuando un usuario accede a intercambios de archivos o impresoras remotos. Asimismo, la mayoría de los inicios de sesión en Internet Information Services (IIS) se clasifican como inicios de sesión de red (excepto para aquellos en IIS que se realizan como inicio de sesión tipo 8). |
| 4 |
+ Inicio de sesión por lote
Sucede durante tareas programadas, es decir cuando el servicio de programador de Windows inicia esta acción. |
| 5 |
+ Inicio de sesión de servicios
Se efectúa cuando servicios y cuentas de servicios inician sesión para iniciar un servicio. |
| 7 |
+ Inicio de sesión de desbloqueo
Se lleva a cabo cuando un usuario desbloquea su equipo Windows. |
| 8 |
+ Inicio de sesión de NetworkClearText
Se da cuando un usuario inicia sesión en una red y la contraseña se envía en texto sin formato. En su mayoría indica un inicio de sesión en IIS utilizando una “autenticación básica”. |
| 9 |
+ Inicio de sesión de NewCredentials
Ocurre cuando el usuario ejecuta una aplicación utilizando el comando RunAs y especifica el switch /netonly. |
| 10 |
+ Inicio de sesión de RemoteInteractive
Tiene lugar cuando un usuario inicia sesión en su equipo utilizando aplicaciones basadas en RDP como servicios de terminal, desktop remoto o asistencia remota. |
| 11 |
+ Inicio de sesión de CachedInteractive
Se da cuando un usuario inicia sesión en su equipo utilizando credenciales de red que se almacenan localmente en el equipo (es decir, no se contacta al controlador de dominio para verificar las credenciales). |
Se puede obtener otra información del Evento 4624:
Seguridad
Para evitar abusos de privilegios, las organizaciones necesitan vigilar qué acciones realizan los usuarios privilegiados, empezando con los inicios de sesión.
Para detectar actividades anómalas y potencialmente maliciosas, como un inicio de sesión desde una cuenta inactiva o restringida, usuarios que inician sesión fuera de las horas laborales normales, inicios de sesión simultáneos a muchos recursos, etc.
Operativo
Para obtener información sobre la actividad de los usuarios como presencia de usuarios, horas pico de inicio de sesión, etc.
Cumplimiento
Para cumplir con las normativas regulatorias se necesita información precisa con respecto a los inicios de sesión exitosos.
En un entorno típico de TI, el número de eventos con ID 4624 (inicios de sesión exitosos) puede discurrir en miles por día. No obstante, todos ellos no son importantes; incluso los eventos cruciales son inútiles si están aislados, sin una conexión establecida con otras acciones.
Por ejemplo, mientras los Eventos4624 y el 4647 se generan cuando se inicia o se cierra sesión en una cuenta respectivamente, ninguno de los dos revela la duración de la sesión de inicio de sesión. Para encontrar este dato, debe correlacionar ambos Eventos utilizando la ID de inicio de sesión.
Por tanto, se debe realizar el análisis y correlación de eventos. Las herramientas nativas y scripts de PowerShell demandan experiencia y tiempo cuando se emplean para este fin, por lo que una herramienta externa es realmente indispensable.
Al aplicar machine learning, ADAudit Plus crea una referencia de actividades normales específicas para cada usuario y solo notifica al personal de seguridad cuando se produce una desviación de esta norma.
Por ejemplo, un usuario que accede de forma consistente a un servidor crítico fuera de las horas laborales no provocaría una alerta falsa debido a que es un comportamiento típico de dicho usuario. Por otro lado, ADAudit Plus enviaría una alerta instantáneamente a los equipos de seguridad cuando ese mismo usuario acceda a dicho servidor durante un momento en que nunca ha accedido antes, incluso aunque esto se encuentredentro de las horas comerciales.
Si desea explorar el producto por sí mismo, descargue la prueba gratuita y completamente funcional de 30 días
Si desea que un experto lo guíe por un tour personalizado del producto, programe una demostración.
We’ve sent the guide to your inbox.
Before you leave, check out our guide on the 8 most critical Windows security events you must monitor.