Identyfikator zdarzenia 4624 (w podglądzie zdarzeń systemu Windows) dokumentuje każdą udaną próbę zalogowania się na lokalnym komputerze.To zdarzenie jest generowane na komputerze, do którego uzyskano dostęp, innymi słowy, gdzie została utworzona sesja logowania. Zdarzenie pokrewne, identyfikator zdarzenia 4625 dokumentuje nieudane próby logowania.
Zdarzenie 4624 dotyczy następujących systemów operacyjnych: Windows Server 2008 R2 i Windows 7, Windows Server 2012 R2 i Windows 8.1, Windows Server 2016 i Windows 10. Odpowiednie zdarzenia w systemie Windows Server 2003 i wcześniejszych obejmowały zarówno identyfikator 528, jak i 540 dla udanych logowań.
Identyfikator zdarzenia 4624 wygląda nieco inaczej w systemach Windows Server 2008, 2012 i 2016. Na poniższych zrzutach ekranu zaznaczone są ważne pola w każdej z tych wersji.
Zdarzenie 4624 (Windows 2008)
Zdarzenie 4624 (Windows 2012)
Zdarzenie 4624 (Windows 2016)
Ważne informacje, które można uzyskać ze zdarzenia 4624 obejmują:
| Typ logowania | Opis |
|---|---|
| 2 |
- Logowanie interakcyjne
Występuje, gdy użytkownik loguje się przy użyciu lokalnej klawiatury i ekranu komputera. |
| 3 |
+ Logowanie sieciowe
Występuje, gdy użytkownik uzyskuje dostęp do zdalnych udziałów plików lub drukarek. Ponadto większość logowań do Internetowych usług informacyjnych (IIS) jest klasyfikowana jako logowanie sieciowe (z wyjątkiem logowań IIS, które są rejestrowane jako logowanie typu 8). |
| 4 |
+ Logowanie wsadowe
Występuje podczas zaplanowanych zadań, tj. gdy usługa Harmonogram systemu Windows uruchamia zaplanowane zadanie. |
| 5 |
+ Logowanie w trybie usługi
Występuje, gdy usługi i konta usług logują się w celu uruchomienia usługi. |
| 7 |
+ Logowanie po zdjęciu blokady
Występuje, gdy użytkownik odblokowuje swoją maszynę z systemem Windows. |
| 8 |
+ Logowanie typu NetworkClearText
Występuje, gdy użytkownik loguje się przez sieć, a hasło jest wysyłane zwykłym tekstem. Najczęściej oznacza logowanie do usług IIS przy użyciu „uwierzytelniania podstawowego”. |
| 9 |
+ Logowanie typu NewCredentials
Występuje, gdy użytkownik uruchomi aplikację przy użyciu polecenia RunAs i określi przełącznik /netonly. |
| 10 |
+ Logowanie typu RemoteInteractive
Występuje, gdy użytkownik loguje się do swojego komputera przy użyciu aplikacji opartych na protokole RDP, takich jak Usługi terminalowe, Pulpit zdalny lub Pomoc zdalna. |
| 11 |
+ Logowanie typu CachedInteractive
Występuje, gdy użytkownik loguje się na swoim komputerze przy użyciu poświadczeń sieciowych przechowywanych lokalnie na komputerze (tj. nie skontaktowano się z kontrolerem domeny w celu zweryfikowania poświadczeń). |
Inne informacje, które można uzyskać w ramach zdarzenia 4624:
Zabezpieczenia
Aby zapobiec nadużywaniu przywilejów, organizacje muszą być czujne na to, jakie działania wykonują uprzywilejowani użytkownicy, począwszy od logowania.
Aby wykrywać nieprawidłowe i potencjalnie złośliwe działania, jak logowanie z nieaktywnego lub zastrzeżonego konta, użytkownicy logujący się poza normalnymi godzinami pracy, jednoczesne logowania do wielu zasobów itp.
Operacyjny
Aby uzyskać informacje o aktywności użytkowników jak np. obecność użytkowników, maksymalny czas logowania itp.
Zgodność
Aby spełnić wymogi prawne, konieczne są dokładne informacje dotyczące udanych logowań.
W typowym środowisku IT liczba zdarzeń z identyfikatorem 4624 (udane logowania) może sięgać tysięcy dziennie. Jednak wszystkie te udane zdarzenia logowania nie są ważne; nawet ważne zdarzenia są bezużyteczne bez kontekstu, bez żadnego połączenia ustanowionego z innymi zdarzeniami.
Na przykład, podczas gdy zdarzenie 4624 jest generowane, gdy konto się loguje, a zdarzenie 4647 jest generowane, gdy konto się wylogowuje, żadne z tych zdarzeń nie ujawnia czasu trwania sesji logowania. Aby znaleźć czas trwania logowania, musisz skorelować zdarzenie 4624 z odpowiadającym mu zdarzeniem 4647 przy użyciu identyfikatora logowania.
Tym samym konieczne jest wykonanieanalizy zdarzeń i korelacji. Natywne narzędzia i skrypty PowerShell wymagają wiedzy i czasu, gdy są wykorzystywane do tego celu, więc narzędzie innej firmy jest naprawdę niezbędne.
Wykorzystując uczenie maszynowe, program ADAudit Plus tworzy podstawowe lub normalne aktywności, które są specyficzne dla każdego użytkownika i wysyła powiadomienie do zespołu ds. zabezpieczeń tylko w przypadku odstępstw od tej normy.
Przykładowo użytkownik, który często uzyskuje dostęp do krytycznego serwera poza godzinami pracy, nie wyzwoli fałszywego alarmu, ponieważ takie zachowanie jest typowe dla niego. Z drugiej strony, oprogramowanie ADAudit Plus natychmiast wysyłałoby alert do zespołów ds. zabezpieczeń, gdy ten sam użytkownik uzyskałby dostęp do tego serwera w czasie, w którym nigdy wcześniej nie uzyskiwał do niego dostępu, nawet jeśli ten dostęp przypada w normalnych godzinach pracy.
Jeśli chcesz samodzielnie zapoznać się z produktem, pobierz bezpłatną, w pełni funkcjonalną 30-dniową wersję próbną.
Jeśli chcesz, aby ekspert przeprowadził Cię przez spersonalizowaną prezentację produktu, umów się na demo.