Hændelses-ID 4624 (vist i Windows Logbog) dokumenterer hvert vellykket forsøg på at logge ind på en lokal computer.Denne hændelse genereres på den computer, der blev tilgået, altså der hvor loginsessionen blev oprettet. En relateret hændelse, hændelses-ID 4625, dokumenterer mislykkede loginforsøg.
Hændelse 4624 gælder for følgende operativsystemer: Windows Server 2008 R2, Windows 7, Windows Server 2012 R2, Windows 8.1, Windows Server 2016 og Windows 10. Tilsvarende hændelser i Windows Server 2003 og tidligere omfattede både 528 og 540 for vellykkede logins.
Hændelses-ID 4624 ser lidt anderledes ud på Windows Server 2008, 2012 og 2016. I skærmbillederne nedenfor er de vigtige felter i hver af disse versioner fremhævet.
Hændelse 4624 (Windows 2008)
Hændelse 4624 (Windows 2012)
Hændelse 4624 (Windows 2016)
De vigtige oplysninger, der kan udledes af hændelse 4624, omfatter:
| Logintype | Beskrivelse |
|---|---|
| 2 |
- Interaktivt login
Sker, når en bruger logger ind med computerens lokale tastatur og skærm. |
| 3 |
+ Netværkslogin
Sker, når en bruger får adgang til eksterne fildelinger eller printere. De fleste logins til Internet Information Services (IIS) klassificeres også som netværkslogins (bortset fra IIS-logins, der logføres som logintype 8). |
| 4 |
+ Batchlogin
Sker under planlagte opgaver, dvs. når Windows Opgaveplanlægningstjenesten starter en planlagt opgave. |
| 5 |
+ Tjenestelogin
Sker, når tjenester og tjenestekonti logger ind for at starte en tjeneste. |
| 7 |
+ Oplåsningslogin
Sker, når en bruger låser sin Windows-maskine op. |
| 8 |
+ Klartekstlogin over netværk
Sker, når en bruger logger ind via et netværk, og adgangskoden sendes i klar tekst. Angiver oftest et login til IIS med "grundlæggende godkendelse". |
| 9 |
+ Login med nye legitimationsoplysninger
Sker, når en bruger kører en applikation med kommandoen RunAs og angiver parameteren /netonly. |
| 10 |
+ Interaktivt fjernlogin
Sker, når en bruger logger på sin computer med RDP-baserede applikationer som Terminal Services, Fjernskrivebord eller Fjernsupport. |
| 11 |
+ Cachet interaktivt login
Sker, når en bruger logger ind sin computer med netværkslegitimationsoplysninger, der var gemt lokalt på computeren (dvs. domænecontrolleren blev ikke kontaktet for at bekræfte oplysningerne). |
Andre oplysninger, der kan fås fra hændelse 4624:
Sikkerhed
For at forhindre misbrug af privilegier skal organisationer være opmærksomme på, hvilke handlinger privilegerede brugere udfører, til at starte med login.
For at opdage unormal og potentielt skadelig aktivitet, f.eks. login fra en inaktiv eller indskrænket konto, brugere, der logger ind uden for normal arbejdstid, samtidige logins til mange ressourcer osv.
Operationelt
For at få oplysninger om brugeraktivitet som brugertilstedeværelse, travleste logintidspunkter osv.
Compliance
For at overholde lovkrav er det nødvendigt med præcise oplysninger om vellykkede logins.
I et typisk IT-miljø kan antallet af hændelser med ID 4624 (vellykket login) løbe op i tusindvis om dagen.Alle disse hændelser med vellykket login er dog ikke vigtige; selv de vigtige hændelser er ubrugelige i sig selv, hvis der ikke er fastslået nogen forbindelse med andre hændelser.
For eksempel, mens hændelse 4624 genereres, når en konto logger ind, og hændelse 4647 genereres, når en konto logger af, viser ingen af disse hændelser varigheden af loginsessionen. For at finde sessionsvarigheden skal du sammenholde hændelse 4624 med den tilsvarende hændelse 4647 ved hjælp af login-ID'et.
Hændelser skal altså analyseres og sammenholdes. Indbyggede værktøjer og PowerShell-scripts kræver ekspertise og tid, når de anvendes til dette formål, og derfor er et tredjepartsværktøj virkelig uundværligt.
Ved hjælp af maskinlæring skaber ADAudit Plus et udgangspunkt for normale aktiviteter, der er specifikt for hver bruger, og giver kun sikkerhedspersonalet besked, når der er en afvigelse fra dette udgangspunkt.
For eksempel vil en bruger, der konsekvent får adgang til en kritisk server uden for kontortiden, ikke udløse en falsk positiv underretning, fordi den adfærd er typisk for den pågældende bruger. På den anden side vil ADAudit Plus øjeblikkeligt underrette sikkerhedsteams, når den samme bruger får adgang til serveren på et tidspunkt, hvor de aldrig har haft adgang til den før, selv hvis adgangen er inden for kontortiden.
Hvis du selv vil udforske produktet, kan du downloade den gratis 30-dages prøveversion med alle funktioner.
Hvis du vil have en ekspert til at give dig en personlig rundvisning i produktet, så aftal en demo.
Vi har sendt guiden til din indbakke.
Før du tager af sted, så se lige vores guide til de 8 mest kritiske Windows-sikkerhedshændelser, som du skal overvåge.