Windows händelse-ID 4624 – Lyckad inloggning
Introduktion
Händelse-ID 4624 (visas i Windows loggbok) dokumenterar varje lyckat försök att logga in på en lokal dator. Denna händelse genereras på den dator som användes, med andra ord där inloggningssessionen skapades. En relaterad händelse, händelse-ID 4625 dokumenterar misslyckade inloggningsförsök.
Händelse 4624 gäller för följande operativsystem: Windows Server 2008 R2 och Windows 7, Windows Server 2012 R2 och Windows 8.1, och Windows Server 2016 och Windows 10. Motsvarande händelser i Windows Server 2003 och tidigare inkluderar både 528 och 540 för lyckade inloggningar.
Händelse-ID 4624 ser lite annorlunda ut över Windows Server 2008, 2012 och 2016. I skärmbilderna nedan markeras de viktiga fälten i var och en av dessa versioner.
Händelse 4624 (Windows 2008)
Händelse 4624 (Windows 2012)
Händelse 4624 (Windows 2016)
Beskrivning av händelsefält
Den viktiga informationen som kan härledas från händelse 4624 inkluderar:
- •Inloggningstyp: Detta fält visar vilken typ av inloggning som ägde rum. Med andra ord, det visar hur användaren loggade ut. Det finns totalt nio olika typer av inloggningar och de vanligaste inloggningstyperna är: inloggningstyp 2 (interaktiv) och inloggningstyp 3 (nätverk). Alla andra inloggningstyper än 5 (som anger att en tjänst startas) är en varningsflagga.
- •Ny inloggning: I detta avsnitt visas Kontonamn för den användare som den nya inloggningen skapades för och Inloggnings-ID, ett hexadecimalt värde som hjälper till att korrelera denna händelse med andra händelser.
| Inloggningstyp | Beskrivning |
|---|---|
| 2 | -Interaktiv inloggning Inträffar när en användare loggar in med hjälp av en dators lokala tangentbord och skärm. |
| 3 | +Nätverksinloggning Inträffar när en användare får åtkomst till fjärrfildelning eller fjärrskrivare. De flesta inloggningar till IIS (Internet Information Services) klassificeras som nätverksinloggningar (förutom IIS-inloggningar som är loggade som inloggningstyp 8). |
| 4 | +Batchinloggning Inträffar under schemalagda uppgifter, dvs. när tjänsten Windows Scheduler startar en schemalagd uppgift. |
| 5 | +Tjänsteinloggning Inträffar när tjänster och tjänstekonton loggar in för att starta en tjänst. |
| 7 | +Lås upp inloggning Inträffar när en användare låser upp deras Windows-maskin. |
| 8 | +Inloggning med NetworkClearText Inträffar när en användare loggar in via ett nätverk och lösenordet skickas i klartext. Oftast indikeras en inloggning till IIS med hjälp av "grundläggande autentisering". |
| 9 | +Inloggning med NewCredentials Inträffar när en användare kör ett program med kommandot RunAs och anger bytet /netonly. |
| 10 | +Inloggning med fjärrinteraktiv Inträffar när en användare loggar in på sin dator med hjälp av RDP-baserade program som t.ex. terminaltjänster, fjärrskrivbord eller fjärrassistans. |
| 11 | +Inloggning med CachedInteractive Inträffar när en användare loggar in på sin dator med hjälp av autentiseringsuppgifter till nätverk som lagrats lokalt på datorn (dvs. domänkontrollanten har inte kontaktats för att verifiera autentiseringsuppgifterna). |
Övrig information som man kan få från händelse 4624:
- • Avsnittet Ämne visar kontot på det lokala systemet (inte användaren) som begärde inloggningen.
- • Avsnittet Personifieringsnivå visar i vilken utsträckning en process i inloggningssessionen kan personifiera en klient. Personifieringsnivåer bestämmer vilka operationer en server kan utföra i klientens sammanhang.
- • Avsnittet Processinformation visar detaljer kring den process som försökte logga in.
- • Avsnittet Nätverksinformation visar var användaren var när användaren loggade in. Om inloggningen initierades från samma dator kommer denna information antingen att vara tom eller återspegla den lokala datorns arbetsstationsnamn och källnätverksadress.
- • Autentiseringsinformation visar information om autentiseringspaket som används för inloggning.
Anledningar till övervakning av lyckade inloggningar
Säkerhet
För att förhindra missbruk av privilegier måste organisationer vara uppmärksamma på vilka åtgärder privilegierade användare utför, med start från inloggningar.
För att upptäcka onormal och potentiellt farlig aktivitet, som en inloggning från ett inaktivt eller begränsat konto, användare loggar in utanför normala arbetstider, efterföljande inloggningar till många resurser etc.
Drift
För att få information om användaraktivitet som användarnärvaro, högsta inloggningstider etc.
Efterlevnad
För att uppfylla lagstadgade mandat krävs exakt information om lyckade inloggningar.
Behovet av ett verktyg från tredjepart
I en typisk IT-miljö kan antalet händelser med ID 4624 (lyckade inloggningar) uppgå till flera tusen per dag. Alla dessa lyckade inloggningshändelser är dock inte viktiga; även de viktiga händelserna är värdelösa om de isoleras utan någon koppling till andra händelser.
Även om t.ex. händelse 4624 genereras när ett konto loggar in och händelse 4647 genereras när ett konto loggar ut, visar ingen av dessa händelser hur länge inloggningssessionen varade. För att inloggningstiden behöver du korrelera händelse 4624 med den motsvarande händelsen 4647 med hjälp av inloggnings-ID.
Därför måste händelseanalys och korrelation göras. Inbyggda verktyg och PowerShell-skript kräver expertis och tid när de distribueras för detta ändamål, och därför är ett verktyg från tredjepart verkligen oumbärligt.
Genom att tillämpa maskininlärning skapar ADAudit Plus en baslinje för normala aktiviteter som är specifika för varje användare och meddelar endast säkerhetspersonalen när det finns en avvikelse från den.
Till exempel kommer en användare som ofta går in på en kritisk server utanför kontorstid inte att utlösa en falsk positiv varning eftersom det beteendet är typiskt för just denna användare. Däremot kommer ADAudit Plus omedelbart att varna säkerhetsteamen när samma användare får åtkomst till servern under en tidpunkt då de aldrig tidigare haft åtkomst, även om åtkomsten sker under arbetstid.
Om du vill utforska produkten själv, ladda ner kostnadsfri, fullständigt funktionell 30-dagars provperiod.
Om du vill att en expert ska ge dig en personlig visning av produkten, schemalägg en demo.