מהו תעודת אירוע Windows ID 4624? – כניסה מוצלחת

מדריכים

מהו זיהוי האירוע 4624 ב- Windows? – התחברות מוצלחת. זיהוי אירוע 4624 ב- Windows, המכונה לעתים "אירוע התחברות מוצלחת", הוא רכיב מרכזי ב-יומני האירועים של אבטחת המערכת של Windows המהווה כלי בלתי נפרד לניטור ואבטחת מערכות מחשב. קוד האירוע הזה נוצר באופן אוטומטי על ידי המערכת. כל פעם שמשתמש מתחבר בהצלחה למערכת המבוססת Windows, הוא מספק מידע מרכזי על פעילויות המשתמש והרשאות גישה. על ידי בדיקת זיהוי האירוע 4624 ופרטיו המשויכים, מקצועני אבטחת מידע מבינים מי קיבל גישה למערכת, מתי זה קרה ומאיזו מקור. מידע זה חיוני לזיהוי מהיר ולתגובה לאיומי אבטחה ולשמירה על אינטגריטת הסביבה הדיגיטלית של הארגון.

האם נתחיל מהו זיהוי האירוע 4624 ב- Windows? – התחברות מוצלחת.

קרא גם: הגדר ונהל את חומת האש של Windows עבור השרת שלך ב- Windows

מהו זיהוי האירוע 4624 ב- Windows? – התחברות מוצלחת

כל ניסיון מוצלח להתחבר למחשב מקומי מתועד על ידי המזהה אירוע 4624, שאנו רואים במציג האירועים של Windows. במילים אחרות, במקום שבו המערכת מקימה אירוע, המערכת יוצרת את האירוע בגישה למחשב. המזהה אירוע 4625 מתעד ניסיונות התחברות נכשלים באירוע מחובר.

קרא גם מהו מזהה אירוע הלוג של Windows 4740? – חשבון משתמש ננעל

סקירה של שדות האירוע

 המידע חיוני שאנו מפיקים מהאירוע 4624 כולל:סוג ההתחברות: שדה זה חושף את שיטת ההתחברות של המשתמש, מדגיש איך המשתמש גישה למערכת. מתוך תשעה סוגי התחברות, הסוגים המובילים ביותר הם סוג התחברות 2 (אינטראקטיבי) וסוג 3 (רשת), בעוד שכל סוג התחברות שונה מ-5 (המציין תחילת שירות) צריך לעורר חששות. הסבר נוסף על סוגי התחברות יבוא מאוחר יותר במאמר.

  • סוג התחברות: שדה זה מגלה את אופן התחברות המשתמש, ומדגיש איך המשתמש גיש למערכת. מתוך תשעת סוגי התחברות, הנפוצים ביותר הם סוג התחברות 2 (אינטראקטיבי) וסוג התחברות 3 (רשת), בעוד שכל סוג התחברות אחר מלבד 5 (המציין התחלת שירות) יש לגרום לחשש. פירוט נוסף על סוגי התחברות יתבצע מאוחר יותר במאמר.
  • תחברות חדשה: בסגמנט זה, אנו מגלים את שם החשבון המשויך לכל תחברות חדשה שנוצרה על ידי המערכת, יחד עם מזהה התחברות התואם, ערך הקסדצימלי המסייע בהתייחסות צולבת לאירוע זה עם אירועים אחרים.

מידע נוסף מאירוע ID 4624

  • נושא: מגלה את החשבון במערכת המקומית (ולא המשתמש) שאיתחל את בקשת התחברות.
  • רמת החקיפה: סעיף זה מציין איך תהליך בתוך הסשן של התחברות מזדהה עם לקוח, ומשפיע על הפעולות ששרת מבצע בהקשר של הלקוח.
  • מידע על התהליך: פרטים לגבי התהליך שניסה את בקשת ההתחברות.
  • מידע על הרשת: חושף את המיקום ממנו המשתמש התחבר. במקרה של התחברות מאותו מחשב, מידע זה עשוי להיות ריק או להציג את שם תחנת העבודה של המחשב המקומי וכתובת הרשת המקורית.
  • מידע אימות: מידע על החבילת האימות שנעשה בהשתתפותה בתהליך ההתחברות.

קרא גם נסה את כלי דיווחי המשתמשים ב-Active Directory של InfraSOS

זיהוי איומים ומניעתם עם אירוע 4624

זיהוי ומניעת איומים חיוניים להגנת מערכות המחשב והרשת מפעילויות זדוניות. Event ID 4624, רכיב יסודי ביומן אירועי אבטחת Windows, חשוב מאוד במאמצים אלו. זה מסמל אירוע התחברות מוצלחת, מציע תובנות בפעילות המשתמש ועוזר למקצוענים לזהות ולהגיב לאיומים פוטנציאליים בזמן אמת. על ידי ניתוח של Event ID 4624 והנתונים הקשורים אליו, ארגונים מחזקים את עמידתם בפני איומי אבטחה, זוהים ומקללים במהירות ניסיונות גישה בלתי מורשים, ומבטיחים את שלמותם וסודיותם של הנכסים הדיגיטליים שלהם.

סוגי התחברות בווינדוס

ווינדוס תומך במספר רב של סוגי התחברות, כל אחד מהם משרת מטרה ספציפית ושיטת אימות. הנה רשימה של סוגי התחברות סטנדרטיים בווינדוס יחד עם תיאוריהם:

  1. התחברות אינטראקטיבית (סוג 2): משמשת כאשר משתמש נכנס ישירות למחשב או דרך שולחן עבודה מרחוק. סוג ההתחברות הזה מחייב שם משתמש וסיסמה.
  2. התחברות לרשת (סוג 3): מתרחשת בעת גישה למשאבי רשת במחשב אחר. המערכת שולחת את פרטי הכניסה לשרת המרוחק לאימות.
  3. כניסה בצורת צ'אט (סוג 4): למשימות מתוזמנות או עבודות צ'אט הרצות תחת חשבון משתמש מסוים; לא אינטראקטיבי.
  4. כניסה שירותית (סוג 5): משמש על ידי שירותי Windows, הפועלים אוטומטית או באופן ידני עם מנהל בקרת השירות.
  5. כניסה לשחרור (סוג 7): נוצרת בעת שחרור תחנת עבודה נעולה מראש; אין צורך בפרטי כניסה חדשים.
  6. כניסה בטקסט ברור ברשת (סוג 8): נדיר ולא בטוח; שולח פרטי כניסה בטקסט ברור ברשת.
  7. כניסה עם פרטי כניסה חדשים (סוג 9): מתרחשת בעת הזנת פרטי כניסה שונים לגישה למשאבי רשת.
  8. כניסה אינטראקטיבית מרחוק (סוג 10): משמשת לחיבורים לשולחן העבודה מרחוק.
  9. כניסה אינטראקטיבית מאוחסנת (סוג 11): בשימוש בפרטי כניסה מאוחסנים כאשר לא מחוברים לרשת מאפשר אימות מקומי.
  10. כניסה אינטראקטיבית מטמון מרוחקת (סוג 12): דומה לכניסה אינטראקטיבית מטמון אך לחיבורים מרוחקים.
  11. פתיחת נעילה מטמון (סוג 13): נוצר כאשר מפעילים פתיחת נעילה במחשב עם פרטי כניסה מטמון לא מקוונים.
  12. כניסת פרטי כניסה מטמון (סוג 14): סוג כניסה זה משתמש ביישומים או שירותים המגיעים למשאבי רשת עם פרטי כניסה מטמון.
  13. כניסת פרטי כניסה מטמון מרוחקת (סוג 15): דומה לכניסת פרטי כניסה מטמון, אך לגישה מרוחקת.
  14. פתיחה (סוג 21): מתרחשת בעת פתיחת תחנת עבודה שננעלה מראש.

סוגי הכניסה הללו חיוניים לצורך ביקורת וניתוח אבטחה ל מעקב אחר פעילות המשתמש ולזיהוי איומי אבטחה פוטנציאליים.

כניסות מוצלחות חשודות

עכשיו שדיברנו על סוגי הכניסה השונים בחלונות, אנו מתחילים לנתח אילו מזהים אירוע 4624 נרשמים על ידי פושע זדון. הנה כמה מדוגמאות מתחת:

  • אירעה evennt ID 4624 עם סוג הכניסה 10 (RemoteInteractive כניסות) וכתובת הרשת המקור היא loopback (127. *. *. * או ::1), בדרך כלל תunnelings RDP.
  • Evennt ID 4624 סוג כניסה 10 (RemoteInteractive כניסות) וכתובת הרשת המקור לא ברשתו של הארגון שלנו.
  • Evennt ID 4624, סוג כניסה (3 ו-10), שמות המחשבים המקוריים וה目的יים הם מחשבי המשתמשים.
  • Evennt ID 4624, סוגי כניסה (2 ו-10) ושם החשבון הסופו ב$, כגון ItSupport $, הוא חשוד על חשבון מכונית כזה.
  • Evennt ID 4624 עם יותר מכניסה מוצלחה אחת עם סוגי כניסה 3 ו-10 משם שם החשבון וכתובת הרשת מקור שונה נחשב כסמויה.
  • Evennt ID 4624 וסוגי כניסה (2, 10, ו-7) ושמות החשבונות כגון חשבונות שירות פנימיים (svc _ *), אפשר כניסה אינטראקטיבית מחשבון שירות.

בהמחשכה לבטחון הרשת, השגחה הנדרשת כדי למען ולענות על אירעי כניסה מוצלחים סמויים, שemonyיים על כניסות ללא רשיון או כניסות מלאות, היא משימה חשובה וממושכת וממושכת.

קרא גם נסה את כלי הדיווח והבדיקה של InfraSOS לפעילות ולהתאמת הרשאות ב- Active Directory

Get-Event log לפי מזהה האירוע 4624 באמצעות PowerShell

כמו כל ממשק משתמש גרפי (GUI) אחר במערכת ההפעלה של Windows, אנחנו נגשים למידע דרך פקודות ממשק שורת הפקודה (CLI), כמו אלה הזמינים ב Windows PowerShell. כדי לקבל לוגים של אירועים הקשורים למזהה אירוע 4624, PowerShell מספק לנו cmdlets נוחים כמו Get-EventLog ו־Get-WinEvent. בואו נדגים איך לשלוף לוגים של אירועים עבור מזהה האירוע 4624 באמצעות הפקודה Get-EventLog ב־PowerShell.

$currentDate = [DateTime]::Now.AddDays(-1)
Get-EventLog -LogName "Security" -After $currentDate | Where -FilterScript {$_.EventID -eq 4624}

בתחביר המעלה:

  • Get-EventLog מקבל אירועים עם מזהה 4624 עבור התאריך שצוין באמצעות המשתנה $currentDate.
  • הוא משתמש בLogNameפרמטר כדי לקבוע את שם היומן של האירוע, כמו Security
  • כל מספרי האירועים מוגבלים לשווים ל-4624 באמצעות הפרמטר FilterScript שלהם.

אנו גם מקבלים יומני אירועים עבור מספר זהות האירוע 4624 באמצעות Get-WinEvent הפקודה ב-PowerShell:

Get-WinEvent -FilterHashtable @{LogName = 'Security'; ID = 4624}

בתכנית פורטל-של-Windows PowerShell לעיל,

  • Get-WinEvent מקבל את יומן האירוע עבור מספר זהות האירוע 4624.
  • הוא משתמש בFilterHashtableפרמטר ו-LogName כ-Security כדי להביא את האירועים הללו

השימוש בפקודת חלק של PowerShell להשגת רשומות מספר זהות אירוע 4624 מספק דרך חזקה לניטור והגיבורה לאירועי התחברות מוצלחים, מאפשרת גילוי יזום ומניעת איומים אבטחה פוטנציאליים בנוף האבטחה הסייבר המשתנה תדיר.

גם לקריאה Best Practices for Securing Windows Server: Secure Your Windows Server Environment

תoda על קריאת What is Windows Event ID 4624 ? – כניסה בהצלחה. כותבים את המאמר בסוף.

סיכום What is Windows Event ID 4624 ? – כניסה בהצלחה

בסך הכל, Windows Event ID 4624 הוא עמוד הבסיס של הבטחון והמעקב בסיס템 של Microsoft. כלי חובב למעקב אחר והבנת גישה משתמש לסביבות מסוג Windows, מספק מידע ערך על אירועי כניסה על ידי פרטים כמו מי מגיע, כשזה קורה ומאיפה. Event ID 4624 מאפשר למקצועות בטחון הסיסמה לחזק את מצב הבטחון של מערכתם ולעניק מגוון של תגובות מהירות לאיומים הפוטנציאליים. הוא חלק מפורט מתכונים הבטחוניים, מgaranting את בריאות והתאמנות האמיתית של היחידות הבינאריות ומאפשר התגלות והשמרה מאיומים מוקדמים ומסוימים.

Source:
https://infrasos.com/what-is-windows-event-id-4624-successful-logon-2/