ID d'événement 4648

Outil d’audit Active Directory

Les informations sur Qui, Où et Quand sont très importantes pour un administrateur parce qu’elles lui donnent une connaissance complète de toutes les activités qui ont lieu sur son Active Directory. Cela leur permet d'identifier toute activité souhaitée ou indésirable. ADAudit Plus aide un administrateur à obtenir ces informations sous forme de rapports. Veillez, en temps réel, à ce que les ressources critiques dans le réseau telles que les contrôleurs de domaine soient auditées, surveillées et fassent l'objet de rapports contenant toutes les informations sur les objets AD — utilisateurs, groupes, objets de stratégie de groupe, ordinateurs, unités d'organisation, DNS, modifications du schéma et de la configuration AD — avec plus de 200 rapports détaillés sur l'interface utilisateur graphique spécifique aux événements et des alertes par e-mail.

System Event » ID d'événement 4648

ID d'événement 4648 - Une connexion a été tentée à l'aide d'informations d'identification explicites

ID d'événement4648
CatégorieConnexion/Déconnexion
Sous-catégorieAudit Connexion
TypeAudit de succès
DescriptionUne connexion a été tentée à l'aide d'informations d'identification explicites.

Lorsqu'un processus tente de se connecter à un compte en spécifiant explicitement les informations d'identification de ce compte, l'événement 4648 est généré. Il est généralement généré par des configurations de type « batch ». Il est également généré périodiquement au cours de l'activité normale du système d'exploitation, en tant qu'événement de routine.

Les données de ce journal fournissent les informations suivantes :

  • ID de sécurité
  • Nom du compte
  • Domaine du compte
  • ID de connexion
  • GUID de connexion
  • Nom du serveur cible
  • Informations complémentaires (serveur cible)
  • ID de processus
  • Nom du processus
  • Adresse réseau
  • Port

Pourquoi l’ID d'événement 4648 doit-il être surveillé ?

  • Pour suivre les processus décrits dans cet événement
  • Pour savoir comment et quand un compte particulier est utilisé
  • Pour contrôler les actions des comptes de grande valeur
  • Pour détecter les anomalies et les actions malveillantes
  • Pour s'assurer que les comptes inactifs, externes et restreints ne sont pas utilisés
  • Pour s'assurer que seuls les comptes figurant sur la liste blanche effectuent certaines actions spécifiques
  • Pour faire respecter les conventions et les conformités

Conseil de pro :

Grâce à des rapports détaillés, des alertes en temps réel et des affichages graphiques, ADAudit Plus suit les tentatives de connexion réussies par les utilisateurs locaux, ce qui vous aide à répondre en toute facilité à vos besoins en matière de sécurité, d'exploitation et de conformité.

L'événement 4648 s'applique aux systèmes d'exploitation suivants :

  • Windows 2008 R2 et 7
  • Windows 2012 R2 et 8.16
  • Windows 2016 et 10

Événements correspondants dans Windows 2003 et avant : 552.

Explorer l'audit et la création de rapports Active Directory avec ADAudit Plus.

  • Enter your email id
    Please enter a valid email id
  • Enter your phone number
  • Select demo date
  • En cliquant sur 'Planifier une démonstration personnalisée', vous acceptez le traitement des données personnelles conformément à la Politique de confidentialité. Vous pouvez vous désabonner de nos courriers à tout moment.
Account Management Auditing
Active Directory Auditing
Windows Server Auditing