Gebeurtenis-id 4624 (weergegeven in Windows Logboeken) documenteert elke gelukte aanmeldingspoging bij een lokale computer. Deze gebeurtenis is gegenereerd op de computer waarbij is aangemeld, m.a.w. waar de aanmeldingssessie werd gemaakt. Een verwante gebeurtenis, Gebeurtenis-id 4625 documenteert mislukte aanmeldingspogingen.
Gebeurtenis 4624 is van toepassing op de volgende besturingssystemen: Windows Server 2008 R2 en Windows 7, Windows Server 2012 R2 en Windows 8.1, en Windows Server 2016 en Windows 10. Overeenkomende gebeurtenissen in Windows Server 2003 en eerder, omvatten zowel 528 als 540 voor gelukte aanmeldingen.
Gebeurtenis-id 4624 ziet er iets anders uit op Windows Server 2008, 2012 en 2016. In de onderstaande schermopnamen zijn de belangrijke velden voor elk van deze versies gemarkeerd.
Gebeurtenis 4624 (Windows 2008)
Gebeurtenis 4624 (Windows 2012)
Gebeurtenis 4624 (Windows 2016)
De belangrijke informatie die kan worden afgeleid van Gebeurtenis 4624 omvat:
| Type aanmelding | Beschrijving |
|---|---|
| 2 |
- -Interactieve aanmelding
Treedt op wanneer een gebruiker aanmeldt via een lokaal toetsenbord en scherm van een computer. |
| 3 |
+ Netwerkaanmelding
Occurs when a user accesses remote file shares or printers. Also, most logons to Internet Information Services (IIS) are classified as network logons (except for IIS logons which are logged as logon type 8). |
| 4 |
+ Batchaanmelding
Occurs during scheduled tasks, i.e. when the Windows Scheduler service starts a scheduled task. |
| 5 |
+ Serviceaanmelding
Occurs when services and service accounts log on to start a service. |
| 7 |
+ Aanmelding ontgrendelen
Occurs when a user unlocks their Windows machine. |
| 8 |
+ Aanmelding bij netwerk met leesbare tekst
Occurs when a user logs on over a network and the password is sent in clear text. Most often indicates a logon to IIS using "basic authentication." |
| 9 |
+ Aanmelding nieuwe referenties
Occurs when a user runs an application using the RunAs command and specifies the /netonly switch. |
| 10 |
+ Externe interactieve aanmelding
Occurs when a user logs on to their computer using RDP-based applications like Terminal Services, Remote Desktop, or Remote Assistance. |
| 11 |
+ Interactieve aanmelding in cache
Occurs when a user logs on to their computer using network credentials that were stored locally on the computer (i.e. the domain controller was not contacted to verify the credentials). |
Overige informatie die kan worden verkregen van Gebeurtenis 4624:
Beveiliging
Om misbruik van bevoegdheden te voorkomen moeten organisaties waakzaam zijn waar het gaat over de acties die bevoorrechte gebruikers uitvoeren, te beginnen met aanmeldingen.
Om abnormale en potentieel boosaardige activiteit te detecteren, zoals een aanmelding van een inactieve of beperkte account, gebruikers die aanmelden buiten de normale werkuren, gelijktijdige aanmeldingen bij meerdere bronnen enz.
Operationeel
Voor het verkrijgen van informatie over gebruikersactiviteit zoals gebruikersaanwezigheid, piektijden aanmelding enz.
Naleving
Er moet worden voldaan aan de exacte informatie rond gelukte aanmeldingen van regelgevende mandaten.
In een standaard IT-omgeving kan het aantal gebeurtenissen met id 4624 (gelukte aanmeldingen) oplopen tot duizenden per dag. Al deze gelukte aanmeldingsgebeurtenissen zijn echter niet belangrijk. Zelfs de belangrijkste gebeurtenissen zijn nutteloos als ze geïsoleerd zijn, zonder dat er enige verbinding is gemaakt met andere gebeurtenissen.
Terwijl Gebeurtenis 4624 bijvoorbeeld wordt gegenereerd wanneer een account aanmeldt en Gebeurtenis 4647 wordt gegenereerd wanneer een account afmeldt, tonen geen van deze gebeurtenissen de duur van de aanmeldingssessie. Om de aanmeldingsduur te vinden, moet u Gebeurtenis 4624 afstemmen op de overeenkomende Gebeurtenis 4647 met de aanmeldings-id.
Daarom moet dus een gebeurtenissenanalyse en afstemming worden uitgevoerd. Systeemeigen hulpprogramma’s en PowerShell-scripts vereisen vakkennis en tijd wanneer ze hiervoor worden gebruikt. Daarom is een hulpprogramma van derden werkelijk onmisbaar.
Door het toepassen van machine learning, creëert ADAudit Plus een basislijn van normale activiteiten die specifiek zijn voor elke gebruiker en wordt beveiligingspersoneel alleen gewaarschuwd wanneer er een afwijking van deze norm is.
Een gebruiker die bijvoorbeeld consistent buiten kantooruren aanmeldt bij een kritieke server, zal geen fout-positief alarm activeren omdat dit gedrag normaal is voor die gebruiker. Anderzijds zal ADAudit Plus de beveiligingsteams onmiddellijk waarschuwen wanneer diezelfde gebruiker aanmeldt bij de server op een tijdstip waarop hij dat nog nooit heeft gedaan, ook al valt dit binnen de kantooruren.
Als u het product zelf wilt verkennen, download dan de gratis, volledig functionele 30-daagse proefversie.
Als u wilt dat een expert u een rondleiding op maat geeft over het product, plant u een demo.
