ما هو حدث تسجيل الدخول 4624 في نظام Windows؟ – تسجيل دخول ناجح

الدروس التعليمية

ما هو رمز حدث النافذة 4624؟ – تسجيل دخول ناجح. يعتبر رمز حدث النافذة 4624، المعروف في كثير من الأحيان باسم حدث تسجيل الدخول الناجح، عنصرًا محوريًا في سجلات أحداث أمان Windows التي تعتبر أداة أساسية لمراقبة وتأمين أنظمة الكمبيوتر. يتم إنشاء هذا الحدث بواسطة النظام. كلما قام مستخدم بتسجيل الدخول بنجاح إلى نظام يعتمد على Windows، مما يوفر رؤى حاسمة حول أنشطة المستخدمين وصلاحيات الوصول. من خلال فحص رمز حدث 4624 وتفاصيله المرتبطة، يفهم محترفو أمان المعلومات من الذي قام بالوصول إلى النظام ومتى حدث ذلك، ومن أي مصدر. هذه المعلومات لا تقدر بثمن للتعرف بسرعة والاستجابة لتهديدات الأمان والحفاظ على سلامة وأمان بيئة العمل الرقمية للمؤسسة.

هل نبدأ ما هو رمز حدث النافذة 4624؟ – تسجيل دخول ناجح.

اقرأ أيضًا تكوين وإدارة جدار الحماية لخادم Windows الخاص بك

ما هو رمز حدث النافذة 4624؟ – تسجيل دخول ناجح

كل محاولة ناجحة لـ تسجيل الدخول إلى جهاز حوسبة على الأرضية مسجلة بواسطة رقم الحدث 4624، الذي نراه في مراقب الأحداث في ويندوز. بمعنى آخر، حيث يقوم النظام بتحديد حدث، يولد النظام الحدث على الوصول إلى الكمبيوتر. رقم الحدث 4625 يسجل محاولات تسجيل الدخول الفاشلة في حادثة متصلة.

اقرأ أيضًا ما هو رقم سجل الحدث في ويندوز 4740؟ – تم تأكيد تأمين حساب المستخدم

نظرة عامة على حقول الحدث

 المعلومات الحياة التي نستمدها من الحدث 4624 تشمل:

  • نوع تسجيل الدخول: يكشف هذا الحقل عن طريقة تسجيل دخول المستخدم، مسلطًا الضوء على كيفية دخول المستخدم إلى النظام. من بين التسعة أنواع مشتركة لتسجيل الدخول، تعتبر أكثرها انتشارًا أنواع تسجيل الدخول 2 (تفاعلي) و3 (شبكة)، بينما ينبغي أن يثير أي نوع تسجيل دخول غير 5 (مشيرًا إلى بدء تشغيل خدمة) مخاوف. سيتم توضيح تفاصيل إضافية حول أنواع تسجيل الدخول لاحقًا في المقال.
  • تسجيل دخول جديد: في هذا القسم، نكشف عن اسم الحساب المرتبط بكل تسجيل دخول جديد تم إنشاؤه بواسطة النظام، مع الهوية الخاصة بتسجيل الدخول، وهي قيمة عشرية تسهل عملية ربط هذا الحدث بالآخرين.

معلومات أخرى من رمز الحدث 4624

  • الموضوع: يكشف عن الحساب على النظام المحلي (وليس المستخدم) الذي بدأ طلب تسجيل الدخول.
  • مستوى التنميص: تشير هذه القسم إلى كيفية تنميص عملية داخل جلسة تسجيل الدخول عميلًا، مما يؤثر على العمليات التي يقوم بها الخادم ضمن سياق العميل.
  • معلومات العملية:
  • معلومات الشبكة: تكشف الموقع الذي قام المستخدم بتسجيل الدخول منه. في حالة تسجيل الدخول المبادر من نفس الكمبيوتر، يمكن أن تكون هذه المعلومات فارغة أو تعرض اسم محطة العمل الخاصة بالكمبيوتر المحلي وعنوان الشبكة المصدر.
  • معلومات المصادقة: معلومات حول الحزمة المستخدمة لعملية تسجيل الدخول.

اقرأ أيضًا جرب أداة تقارير مستخدمي Active Directory في InfraSOS

كشف التهديدات والوقاية مع الحدث 4624

كشف التهديدات والوقاية أمران حرجيان في حماية أنظمة الكمبيوتر والشبكات من الأنشطة الخبيثة. رقم الحدث 4624، وهو عنصر أساسي في سجلات أحداث الأمان في نظام Windows، يلعب دورا حيويا في هذا السعي. إنه يشير إلى حدوث حدث تسجيل الدخول بنجاح، مما يقدم نظرة عميقة في أنشطة المستخدم ويساعد المحترفين في مجال الأمان على تحديد والاستجابة للتهديدات المحتملة في الوقت الحقيقي. من خلال تحليل رقم الحدث 4624 والبيانات المرتبطة به، تقوم المؤسسات بتعزيز مواقفها الأمنية بشكل استباقي، وكذلك اكتشاف والتخفيف بسرعة محاولات الوصول غير المصرح بها، وضمان سلامة وسرية أصولها الرقمية.

أنواع تسجيل الدخول في Windows

يدعم نظام Windows عدة أنواع من تسجيل الدخول، كل منها يخدم غرضًا محددًا وطريقة محددة للمصادقة. إليك قائمة بأنواع تسجيل الدخول القياسية في Windows مع وصفها:

  1. تسجيل الدخول التفاعلي (النوع 2): يستخدم عندما يقوم المستخدم بتسجيل الدخول مباشرة على الكمبيوتر أو عبر سطح المكتب عن بعد. يتطلب هذا النوع من تسجيل الدخول اسم مستخدم وكلمة مرور.
  2. تسجيل الدخول إلى الشبكة (النوع 3): يحدث عند الوصول إلى موارد الشبكة على كمبيوتر آخر. يرسل النظام بيانات اعتماد الاعتماد إلى الخادم البعيد للمصادقة.
  3. تسجيل الدخول الدفعي (النوع 4): للمهام المجدولة أو الوظائف الدفعية التي تعمل بموجب حساب مستخدم محدد؛ غير تفاعلية.
  4. تسجيل الدخول الخدمي (النوع 5): تستخدمه خدمات Windows، تبدأ تلقائيًا أو يدويًا باستخدام مدير التحكم في الخدمة.
  5. تسجيل الدخول لفتح القفل (النوع 7): يتم إنشاؤه عند فتح جهاز الكمبيوتر الشخصي الذي تم قفله مسبقًا؛ لا تكون هناك اعتمادات جديدة مطلوبة.
  6. تسجيل الدخول بنص واضح عبر الشبكة (النوع 8): نادرة وغير آمنة؛ يرسل اعتمادات بنص واضح عبر الشبكة.
  7. تسجيل الدخول باعتمادات جديدة (النوع 9): يحدث عند تقديم اعتمادات مختلفة للوصول إلى موارد الشبكة.
  8. تسجيل الدخول التفاعلي عن بعد (النوع 10): يستخدم لاتصالات سطح المكتب عن بعد.
  9. تسجيل الدخول التفاعلي المخزن (النوع 11): باستخدام اعتمادات مخزنة عندما لا يكون متصلاً بالشبكة يسمح بالمصادقة المحلية.
  10. تسجيل الدخول التفاعلي عن بُعد المخزن (النوع 12): مماثل لتسجيل الدخول التفاعلي المخزن ولكن للاتصالات عن بُعد.
  11. تسجيل فتح القفل المخزن (النوع 13): يتم إنشاؤه عند فتح قفل جهاز الكمبيوتر ببيانات اعتماد مخزنة دون اتصال.
  12. تسجيل اعتماد المخزن (النوع 14): يستخدم هذا النوع من تسجيل الدخول التطبيقات أو الخدمات التي تستخدم موارد الشبكة باستخدام بيانات اعتماد مخزنة.
  13. تسجيل اعتماد الدخول عن بُعد المخزن (النوع 15): مماثل لتسجيل اعتماد المخزن ولكن للوصول عن بُعد.
  14. فتح القفل (النوع 21): يحدث عند فتح جهاز الكمبيوتر المقفل سابقًا.

هذه الأنواع من تسجيل الدخول ضرورية لتدقيق الحسابات وتحليل الأمان ل مراقبة أنشطة المستخدم والانتهاكات الأمنية المحتملة.

تسجيل الدخول الناجح المشبوه

الآن بعد أن تحدثنا عن أنواع مختلفة من طرق تسجيل دخول Windows، نبدأ في تحليل الأحداث التي يتم تسجيلها بواسطة معرفات الحدث 4624 من قبل مرتكب شرير. إليك بعض الأمثلة أدناه:

  • معرف الحدث 4624 مع نوع تسجيل الدخول 10 (تسجيل الدخول عن بعد تفاعلي) وعنوان الشبكة المصدرية هو loopback (127.*.*.* أو ::1)، وعادة ما يكون ذلك نفق RDP.
  • معرف الحدث 4624 نوع تسجيل الدخول 10 (تسجيل الدخول عن بعد تفاعلي) وعنوان الشبكة المصدرية ليس ضمن شبكة المؤسسة.
  • معرف الحدث 4624، نوع تسجيل الدخول (3 و 10)، أسماء محطات العمل المصدرة، والوجهة هي أجهزة المستخدمين النهائيين.
  • معرف الحدث 4624، مع أنواع تسجيل الدخول (2 و 10) واسم حساب ينتهي بـ $، مثل ItSupport$، يعتبر حساب آلي مزيف محتمل.
  • معرف الحدث 4624 مع أكثر من تسجيل دخول ناجح بأنواع تسجيل الدخول 3 و 10 من نفس اسم الحساب وعنوان الشبكة المصدرية المختلف يعتبر مشبوهًا.
  • معرف الحدث 4624 وأنواع تسجيل الدخول (2، 10، و 7) وأسماء حسابات مثل حسابات الخدمة الداخلية (svc_*)، تسجيل دخول تفاعلي محتمل من حساب خدمة.

في السعي الحثيث نحو أمان المعلومات، فإن اليقظة المطلوبة لمراقبة والاستجابة للأحداث الناجحة المشبوهة لتسجيل الدخول، والتي غالبًا ما تشير إلى وصول غير مصرح به أو خبيث، تظل مسعى حاسمًا ومستمرًا.

اقرأ أيضًاجرب أداة تقرير وتدقيق Active Directory Reporting & Auditing Tool من InfraSOS

Get-Event log لحدث الهوية 4624 باستخدام PowerShell

مثل أي واجهة مستخدم رسومية (GUI) في نظام التشغيل Windows ، نحصل على المعلومات من خلال أوامر واجهة سطر الأوامر (CLI) ، مثل تلك المتاحة في ويندوز باورشل. للحصول على سجلات الأحداث المتعلقة بحدث الهوية 4624 ، يوفر PowerShell لنا أوامر cmdlets مريحة مثل Get-EventLog و Get-WinEvent. دعنا نوضح كيفية استرداد سجلات الأحداث لحدث الهوية 4624 باستخدام أمر Get-EventLog في PowerShell.

$currentDate = [DateTime]::Now.AddDays(-1)
Get-EventLog -LogName "Security" -After $currentDate | Where -FilterScript {$_.EventID -eq 4624}

في الصيغة أعلاه:

  • Get-EventLog يحصل على أحداث الهوية 4624 للتاريخ المحدد باستخدام المتغير $currentDate.
  • يستخدم المعلمة LogName لتحديد اسم السجل للحدث، مثل Security
  • يتم تصفية جميع معرفات الأحداث المتساوية لـ 4624 باستخدام معلمة FilterScript.

نحصل أيضًا على سجلات الأحداث لمعرف الحدث 4624 باستخدام Get-WinEvent في سطر الأوامر في PowerShell:

Get-WinEvent -FilterHashtable @{LogName = 'Security'; ID = 4624}

في سكريبت ويندوز باورشيل أعلاه،

  • Get-WinEvent يحصل على سجل الحدث لمعرف الحدث 4624.
  • يستخدم المعلمة FilterHashtable واسم السجل كـ Security لجلب هذه الأحداث

يقدم استخدام أمر cmdlet للأحداث في PowerShell لاسترداد إدخالات معرف الحدث 4624 وسيلة قوية لمراقبة والاستجابة لأحداث تسجيل الدخول الناجحة، مما يتيح الكشف الاستباقي والتخفيف من التهديدات الأمنية المحتملة في المنظر الأمني الرقابي المتطور باستمرار.

شكراً لقراءة ما هو هوية الحدث 4624 في ويندوز؟ – تسجيل الدخول الناجح. سنختتم هذه المقالة.

اقرأ أيضًا ممارسات أفضل لأمان خادم ويندوز: حماية بيئة خادم ويندوز الخاصة بك

شكراً لقراءة ما هو هوية الحدث 4624 في ويندوز؟ – تسجيل الدخول الناجح. نختتم هذه المقالة.

ما هو هوية الحدث 4624 في ويندوز؟ – تسجيل الدخول الناجح – الخاتمة

في الختام، هوية الحدث 4624 في ويندوز هي أساس أمن النظام وركيزة المراقبة. إنها أداة لا غنى عنها لتتبع وفهم وصول المستخدم إلى بيئات ويندوز، وتقدم رؤى قيمة حول أحداث تسجيل الدخول من خلال توفير معلومات حول من يحصل على الوصول ومتى يحدث ذلك ومن أين. يمنح هوية الحدث 4624 المتخصصين في أمن المعلومات القدرة على تعزيز أمان أنظمتهم والاستجابة بسرعة للتهديدات المحتملة. إنها جزء أساسي في ترسانة التدابير الأمنية، مما يضمن سلامة وسرية الأصول الرقمية مع تمكين الكشف المبكر والوقاية من التهديدات.

Source:
https://infrasos.com/what-is-windows-event-id-4624-successful-logon-2/