Accueil »
ADAudit Plus » Event ID 4624

ID d'événement Windows 4624 – Connexion réussie

Introduction

L’ID d'événement 4624 (affiché dans l’Observateur d’événements Windows) documente chaque tentative réussie de connexion à un ordinateur local.. Cet événement est généré sur un ordinateur auquel on a accédé, c'est-à-dire là où la session de connexion a été créée. Un événement connexe, ID d'événement 4625 documente les échecs des tentatives de connexion.

L'événement 4624 s'applique aux systèmes d'exploitation suivants : Windows Server 2008 R2 et Windows 7, Windows Server 2012 R2 et Windows 8.1, et Windows Server 2016 et Windows 10. Les événements correspondants dans Windows Server 2003 et les versions antérieures comprenaient 528 et 540 pour les ouvertures de session réussies.

L'ID d'événement 4624 est un peu différent selon qu'il s'agit de Windows Server 2008, 2012 ou 2016. Les captures d'écran ci-dessous mettent en évidence les champs importants de chacune de ces versions.

Événement 4624 (Windows 2008)

Événement 4624 (Windows 2008)

Événement 4624 (Windows 2012)

Événement 4624 (Windows 2016)

Description des champs Événement

Les informations importantes qui peuvent être tirées de l'événement 4624 sont les suivantes:

  • Type d’ouverture de session: Ce champ indique le type de connexion qui s'est produit. En d'autres termes, il indique comment l'utilisateur s'est connecté..Il existe au total neuf types de connexion différents, les plus courants étant : la connexion de type 2 (interactive) et la connexion de type 3 (réseau). Tout type de connexion autre que 5 (indiquant un démarrage de service) est un signal d'alarme.
  • Nouvelle connexion Cette section indique lenom de compte de l'utilisateur pour lequel la nouvelle connexion a été créée ainsi quel'identifiant de connexion, une valeur hexadécimale qui permet d'établir une corrélation entre cet événement et d'autres événements.
Type d’ouverture de session Description
2
- Connexion interactive

Se produit lorsqu'un utilisateur se connecte en utilisant le clavier et l'écran locaux d'un ordinateur.
3
+ Connexion au réseau

Se produit lorsqu'un utilisateur accède aux imprimantes et partages de fichiers distants. Aussi, la plupart des connexions aux services d’informations Internet (IIS) sont classées comme connexions réseaux (sauf les connexions IIS qui sont journalisées comme type de connexion 8).
4
+ Connexion en lot

Se produit pendant les tâches planifiées, c.-à-d. lorsque le service de planification Windows démarre une tâche planifiée.
5
+ Connexion au service

Se produit lorsque les services et comptes de service se connectent pour démarrer un service.
7
+ Connexion de déverrouillage

Se produit lorsqu’un utilisateur déverrouille sa machine Windows.
8
+ Connexion au Texte en clair réseau

Se produit lorsqu’un utilisateur se connecte à un réseau et que le mot de passe est envoyé en texte clair. Le plus souvent, indique une connexion à IIS en utilisant « l’authentification de base. »
9
+ Connexion à Informations d’identification

Se produit lorsqu’un utilisateur exécute une application en utilisant la commande Exécuter en tant que et spécifie l’interrupteur /netonly.
10
+ Connexion à distanceInteractive

Se produit lorsqu’un utilisateur se connecte à son ordinateur en utilisant des applications basées RDP comme les services de terminal, le bureau distant ou l'assistance à distance.
11
+ Connexion à CachedInteractive

Se produit lorsqu'un utilisateur se connecte à son ordinateur en utilisant des informations d’identification réseau qui ont été stockées localement sur l’ordinateur (c.-à-d. le contrôleur de domaine n'a pas été contacté pour vérifier les informations d’identification).

Autres informations pouvant être obtenues à partir de l'événement 4624 :

  • La section Objet indique le compte du système local (et non l'utilisateur) qui a demandé la connexion.
  • La section Niveau d'usurpation d'identité indique dans quelle mesure un processus de la session de connexion est capable d’usurper l'identité d'un client. Les niveaux d'usurpation d'identité déterminent les opérations qu'un serveur peut effectuer dans le contexte du client.
  • La section Informations sur le processus fournit des détails sur le processus qui a tenté de se connecter.
  • La section Informations sur le réseau indique où se trouvait l'utilisateur lorsqu'il s'est connecté. Si la connexion a été initiée à partir du même ordinateur, soit cette information est vide, soit elle reflète le nom de la station de travail de l'ordinateur local et l'adresse du réseau source.
  • Les informations d'authentification révèlent des informations sur le package d'authentification utilisé pour la connexion.

Motifs de surveillance des connexions réussies

  Sécurité

Pour éviter les abus de privilèges, les organisations doivent être vigilantes quant aux actions effectuées par les utilisateurs privilégiés, à commencer par les connexions.

Pour détecter les activités anormales et potentiellement malveillantes,, telles que les connexions à partir d'un compte inactif ou restreint, les connexions d'utilisateurs en dehors des heures de travail normales, les connexions simultanées à de nombreuses ressources, etc.

  Opérationnel

Pour obtenir des informations sur l'activité des utilisateurs, par exemple leur présence, les heures de connexion les plus fréquentes, etc.

  Conformité

Pour se conformer aux exigences réglementaires, vous devez disposer d'informations précises sur les connexions réussies.

La nécessité d'un outil tiers

Dans un environnement informatique classique, le nombre d'événements portant l'ID 4624 (connexions réussies) peut atteindre plusieurs milliers par jour. Cependant, tous ces événements de connexions réussies ne sont pas importants ; même les événements importants sont inutiles s'ils sont isolés, sans lien établi avec d'autres événements.

Par exemple, l'événement 4624 est généré si un compte se connecte et l'événement 4647 est généré si un compte se déconnecte, mais aucun de ces événements ne révèle la durée de la session de connexion. Vous devez, pour trouver la durée de connexion, corréler l'événement 4624 avec l'événement 4647 correspondant à l'aide de l'ID de connexion.

Vous devez ainsi procéder à l'analyse et à la corrélation des événements. Les outils natifs et les scripts PowerShell demandent de l'expertise et du temps s'ils sont utilisés à ces fins, et c'est pourquoi un outil tiers est vraiment indispensable.

ADAudit Plus applique l'apprentissage machine pour créer une base de référence d'activités normales, spécifiques à chaque utilisateur. Le personnel de sécurité n'est averti qu'en cas d'écart par rapport à cette norme.

Par exemple, un utilisateur qui accède constamment à un serveur critique en dehors des horaires de bureau ne déclencherait pas une fausse alerte positive, car ce comportement est typique de cet utilisateur. D'autre part, si ce même utilisateur accédait à ce serveur à un moment où il ne l'a jamais fait avant, ADAudit Plus alerterait instantanément les équipes de sécurité même si cet accès a lieu pendant les horaires de travail normaux.

If you want to explore the product for yourself, download the free, fully-functional 30-day trial.

If you want an expert to take you through a personalized tour of the product, schedule a demo.

Les 8 événements de sécurité Windows le plus critiques que
vous devez surveiller.

 

Thank you for your interest!

We’ve sent the guide to your inbox.

Thanks for visiting.

Before you leave, check out our guide on the 8 most critical Windows security events you must monitor.

Please enter business email address
  •  
  • En cliquant sur 'Obtenir le guide gratuit', », vous acceptez le traitement de vos données personnelles conformément à la Politique de confidentialité.