ID de evento 4648: se intentó iniciar sesión utilizando credenciales explícitas

Herramienta de auditoría de Active Directory
Obtenga su prueba gratuita Prueba de 30 días totalmente funcional y gratuita

 

 

Herramienta de auditoría de Active Directory

La información de quién, dónde y cuándo es muy importante para que un administrador tenga un conocimiento completo de todas las actividades que ocurren en su Active Directory. Esto les ayuda a identificar cualquier actividad deseada / no deseada que esté ocurriendo. ADAudit Plus ayuda a un administrador con esta información en forma de informes. En tiempo real, asegúrese de que los recursos críticos en la red, como los controladores de dominio, sean auditados, monitorizados y notificados con toda la información sobre los objetos de AD: usuarios, grupos, GPO, equipo, unidad organizativa, DNS, esquema de AD y cambios de configuración con más de 200 cambios detallados, informes de GUI específicos de eventos y alertas por correo electrónico.

Cuentas » Evento de inicio de sesión cierre de sesión: 4672

ID de evento 4648: se intentó iniciar sesión utilizando credenciales explícitas

ID de evento 4648
Categoría Iniciar sesión/Cerrar sesión
Subcategoría Inicio de sesión de auditoría
Tipo Auditoría de éxito
Descripción Se intentó iniciar sesión utilizando credenciales explícitas

Cuando un proceso intenta iniciar sesión en una cuenta especificando explícitamente las credenciales de esa cuenta, se genera el evento 4648. Esto generalmente se genera mediante configuraciones de tipo lote. También se genera periódicamente durante la actividad normal del sistema operativo como un evento de rutina.

Estos datos de registro proporcionan la siguiente información:

  • Identificación de seguridad
  • Nombre de la cuenta
  • Dominio de cuenta
  • ID de inicio de sesión
  • GUID de inicio de sesión
  • Nombre del servidor de destino
  • Información adicional (servidor de destino)
  • Identificacion de proceso
  • Nombre del proceso
  • Dirección de red
  • Puerto

¿Por qué es necesario monitorear el evento ID 4648?

  • Para estar al tanto de los procesos reportados en este evento
  • Para monitorear cómo y cuándo se utiliza una cuenta en particular
  • Para monitorear acciones de cuentas de alto valor.
  • Para detectar anomalías y acciones maliciosas
  • Para garantizar que no se utilicen cuentas no activas, externas y restringidas
  • Para garantizar que sólo las cuentas incluidas en la lista blanca realicen determinadas acciones específicas
  • Para hacer cumplir convenciones y cumplimientos.

Consejo profesional:

Con informes detallados, alertas en tiempo real y pantallas gráficas, ADAudit Plus rastrea los intentos de inicio de sesión exitosos de los usuarios locales, ayudándolo a satisfacer sus necesidades operativas, de seguridad y de cumplimiento con absoluta facilidad.

El evento 4648 se aplica a los siguientes sistemas operativos:

  • Windows 2008 R2 y 7
  • Windows 2012 R2 y 8.1
  • Ventanas 2016 y 10

Eventos correspondientes en Windows 2003 y anteriores: 552.

Explore la auditoría y los informes de Active Directory con ADAudit Plus.

  • Ingrese su identificación de correo electrónico
    Por favor ingrese una identificación de correo electrónico válida
  • Ingrese su número telefónico
  • Seleccione fecha de demostración
    •  
  • Al hacer clic en 'Programa una demostración personalizada', usted acepta el Acuerdo de licencia y la Política de privacidad