Windows-Ereignis 4624
Zuhause » Windows-Ereignis 4624

Windows-Ereignis 4624 – Ein Benutzerkonto wurde gesperrt

Einleitung

Ereignis 4624 (angezeigt im Windows Event Viewer) dokumentiert alle fehlgeschlagenen Anmeldungen an einem lokalen Computer. Dieses Ereignis wird auf dem Computer erzeugt, auf den zugegriffen wurde – also dort, wo die Anmeldungssitzung erstellt wurde. Das zugehörige Ereignis 4625 dokumentiert fehlgeschlagene Anmeldungsversuche.

Ereignis 4624 gilt für die folgenden Betriebssysteme: Windows Server 2008 R2 und Windows 7, Windows Server 2012 R2, Windows 8.1 sowie Windows Server 2016 und Windows 10. Zugehörige Ereignisse in Windows Server 2003 und früheren Versionen umfassten 528 und 540 für erfolgreiche Anmeldungen.

Ereignis 4624 sieht in Windows Server 2008, 2012 und 2016 ein wenig anders aus. In den folgenden Screenshots sind die wichtigen Felder in jeder dieser Versionen hervorgehoben.

Ereignis 4624 (Windows 2008)

Event 4624 (Windows 2008)

Ereignis 4624 (Windows 2012)

Ereignis 4624 (Windows 2016)

Beschreibung der Ereignisfelder

Unter anderem können die folgenden wichtigen Informationen aus Ereignis 4624 abgeleitet werden:

  • Anmeldungstyp: Dieses Feld zeigt auf, welche Art von Anmeldung aufgetreten ist. In anderen Worten gibt das Feld an, wie der Benutzer versucht hat, sich anzumelden. Es gibt insgesamt neun verschiedene Typen von Anmeldungen. Die häufigsten sind Anmeldungstyp 2 (interaktiv) und Anmeldungstyp 3 (Netzwerk). Alle anderen Anmeldungen sind Grund zur Sorge (außer Typ 5, der für einen Service-Startup steht).
  • Neue Anmeldung: Dieser Abschnitt zeigt den Kontonamen des Benutzers an, für den die neue Anmeldung erzeugt wurde. Außerdem erfahren Sie hier die Anmeldungs-ID, einen Hexadezimalwert, mit dem Sie das Ereignis mit anderen Ereignissen korrelieren können.
Anmeldungstyp Beschreibung
2
- Interaktive Anmeldung

Tritt auf, wenn ein Benutzer sich mit lokaler Tastatur und lokalem Bildschirm eines Computers anmeldet.
3
+ Netzwerk-Anmeldung

Tritt auf, wenn ein Anwender auf externe Dateifreigaben oder Drucker zugreift. Zusätzlich werden die meisten Anmeldungen an Internetinformationsdiensten (IIS) als Netzwerkanmeldungen klassifiziert (außer IIS-Anmeldungen, die als Anmeldungstyp 8 protokolliert werden).
4
+ Batchanmeldung

Tritt bei geplanten Aufgaben auf, zum Beispiel, wenn der Dienst zur Windows-Aufgabenplanung eine geplante Aufgabe startet.
5
+ Dienstanmeldung

Tritt auf, wenn Dienste und Dienstkonten zum Starten eines Dienstes angemeldet werden.
7
+ Anmeldungsentsperrung

Tritt auf, wenn ein Anwender sein Windows-Gerät entsperrt.
8
+ NetworkClearText-Anmeldung

Tritt auf, wenn sich ein Anwender per Netzwerk anmeldet, das Kennwort dabei als Klartext gesendet wird. Weist meist auf eine IIS-Anmeldung mit Standardauthentifizierung hin.
9
+ NewCredentials-Anmeldung

Tritt auf, wenn ein Anwender eine Anwendung per RunAs-Befehl startet und dabei den Schalter „/netonly“ angibt.
10
+ RemoteInteractive-Anmeldung

Tritt auf, wenn sich ein Anwender mit RDP-basierten Anwendungen wie Terminaldienste, Remotedesktop oder Remoteunterstützung an seinen Computer anmeldet.
11
+ CachedInteractive-Anmeldung

Tritt auf, wenn sich ein Anwender mit Netzwerkzugangsdaten an seinen Computer anmeldet, die lokal auf dem Computer gespeichert wurden (also wenn der Domänencontroller nicht zum Bestätigen der Zugangsdaten angesprochen wird).

Weitere Erkenntnisse, die sich aus Ereignis 4624 gewinnen lassen

  • Der Abschnitt „Betreff“ zeigt das Konto im lokalen System an, das die Anmeldung angefragt hat (nicht den Benutzer).
  • Der Abschnitt „Verkörperungsebene“ zeigt auf, in welchem Ausmaß ein Prozess in der Anmeldungssitzung einen Client verkörpern kann. Die Verkörperungsebene gibt an, welche Operationen ein Server im Kontext des Clients durchführen kann.
  • Der Abschnitt „Prozessinformationen“ zeigt Details zum Prozess an, der die Anmeldung versucht hat.
  • Der Abschnitt „Netzwerkinformationen“ zeigt, wo der Benutzer sich bei der Anmeldung befunden hat. Wenn die Anmeldung von dem gleichen Computer aus initiiert wurde, sind diese Informationen entweder leer, oder sie zeigen den Workstation-Namen des lokalen Computers sowie die Adresse des Quell-Netzwerks.
  • Der Abschnitt „Authentifizierungsinformationen“ enthält Infos zum für die Anmeldung verwendeten Authentifizierungspaket.

Gründe für die Überwachung erfolgreicher Anmeldungen

  Sicherheit

Um den Missbrauch von Berechtigungen zu vermeiden, müssen Organisationen im Auge behalten, welche Aktionen privilegierte Benutzer durchführen – angefangen bei der Anmeldung.

Sie können abnormale and potentiell böswillige Aktivitäten erkennen, darunter Anmeldungen von inaktiven oder gesperrten Konten, Benutzer, die sich außerhalb der Geschäftszeiten anmelden, gleichzeitige Anmeldungen bei vielen Ressourcen usw.

  Betriebsbereit

Rufen Sie Informationen zu Benutzeraktivitäten ab, wie Anwesenheit, Spitzen-Anmeldungszeiten usw.

  Compliance

Die Einhaltung gesetzlicher Vorschriften erfordert präzise Informationen zu erfolgreichen Anmeldungen.

Warum Drittanbieter-Tools unverzichtbar sind

In einer typischen IT-Umgebung kann das Ereignis 4624 (erfolgreiche Anmeldungen) jeden Tag mehrere tausend Mal auftreten. Allerdings sind alle diese erfolgreichen Anmeldungen ohne Verbindung zu anderen Ereignissen bedeutungslos – ja selbst die wichtigsten Ereignisse sind isoliert betrachtet nutzlos.

Beispielsweise wird Ereignis 4624 erzeugt, wenn ein Konto sich anmeldet, und Ereignis 4647 wird bei der Abmeldung erzeugt. Doch keines dieser Ereignisse zeigt, wie lange die Anmeldungssitzung angedauert hat. Um die Dauer der Anmeldung zu bestimmen, müssen die Ereignisse 4624 und 4647 anhand der Anmeldungs-ID korreliert werden.

Dementsprechend muss eine Analyse und Korrelation der Ereignisse vorgenommen werden. Mit nativen Tools und PowerShell-Skripten erfordert dies eine Menge Fachwissen und Zeit, weshalb Drittanbieter-Tools wahrhaft unverzichtbar sind.

Mit maschinellen Lernalgorithmen ermittelt ADAudit Plus einen Grundwert (Normalwert) regulärer benutzerspezifischer Aktivitäten. Das Sicherheitspersonal wird nur dann benachrichtigt, wenn es Abweichungen von dieser Norm gibt.

Ein Beispiel: Ein Benutzer, der regulär außerhalb der Geschäftszeiten auf einen kritischen Server zugreift, würde keinen Fehlalarm auslösen, da dieses Verhalten für den jeweiligen Benutzer typisch ist. Andererseits würde ADAudit Plus entsprechende Sicherheitsteams sofort alarmieren, wenn derselbe Benutzer zu Zeiten auf den Server zugreift, zu denen sonst keine Zugriffe erfolgten; auch dann, wenn der Zugriff in die regulären Geschäftszeiten fällt.

Wenn Sie das Produkt selbst erkunden möchten, laden SIe diese kostenlose, voll funktionsfähige 30-Tage-Testversion herunter.

Wenn Sie sich eine personalisierte, von unseren Experten geführte Tour wünschen, vereinbaren Sie eine Demo.

Die 8 kritischsten Windows-Sicherheitsereignis-IDs

 

-Danke für dein Interesse!

Wir haben den Leitfaden an Ihren Posteingang gesendet.

Vielen Dank für Ihr Interesse an ADAudit Plus!

Wir haben Ihre individuelle Demo-Anfrage erhalten und werden uns in Kürze mit Ihnen in Verbindung setzen.

Please enter business email address
  •  
  • Per Klick auf „Kostenlosen Ratgeber herunterladen“ stimmen Sie der Verarbeitung personenbezogener Daten gemäß Datenschutzbestimmungen zu.
  • Active Directory
  • File servers
  • Windows server
  • Workstation
  • Related Products