Windows 事件 ID 4624 是什么? – 成功登录

教學

什麼是 Windows 事件 ID 4624?- 登入成功。Windows 事件 ID 4624,通常稱為成功登入事件,是 Windows 安全事件日誌 的重要組成部分,是監控和保護計算機系統的重要工具。此事件代碼由系統生成。每當用戶成功登入基於 Windows 的系統時,都會提供對 用戶活動 存取權限 的重要洞察。通過檢查事件 ID 4624 及其相關詳細信息,網絡安全專業人員了解誰已經獲得對系統的訪問權限,何時發生以及來源是什麼。這些信息對於及時 辨識並應對安全威脅 以及維護組織數字環境的完整性和安全性至關重要。

我們應該開始了什麼是 Windows 事件 ID 4624?- 登入成功。

還可閱讀 為您的 Windows 伺服器配置和管理 Windows 防火牆

什麼是 Windows 事件 ID 4624?- 登入成功

每次成功登錄到本地計算機都會被記錄下來,我們可以在Windows事件查看器中看到,被記錄的內容是事件 ID 4624。換句話說,當系統建立一個事件時,系統生成關於計算機訪問的事件。事件 ID 4625 記錄了在連接事件中失敗的登錄嘗試。

另請參閱Windows事件日誌ID 4740是什麼?-用戶帳戶被鎖定

事件字段概述

 我們從事件4624中獲得的重要信息包括:</diy11

  • 登入類型: 這個欄位揭示了使用者登入的方法,強調使用者如何存取系統。在九種登入類型中,最常見的是類型2(互動式)和類型3(網路),而任何不是5的登入類型(表示服務啟動)都應引起關注。對登入類型的進一步說明將在文章後面提供。
  • 新登入: 在這個部分,我們揭示了系統建立的每個新登入所關聯的帳戶名稱,以及相應的登入 ID,這是一個十六進制值,有助於將此事件與其他事件進行交叉參照。

來自事件 ID 4624 的其他資訊

  • 主題: 揭示了在本地系統上發起登入請求的帳戶(而不是使用者)。
  • 模擬等級: 這部分指示了在登入會話中的進程如何模擬客戶端,影響伺服器在客戶端內容中執行的操作。
  • 進程資訊: 有關嘗試登入的進程的詳細資訊。
  • 網絡信息:顯示用戶登錄的位置。對於用戶啟動的來自同一台計算機的登錄,此信息可能為空,或顯示本地計算機的工作站名稱和源網絡地址。
  • 身份驗證信息:有關登錄過程中使用的身份驗證包的信息。

同時閱讀試用 InfraSOS 活動目錄用戶報告工具

使用事件 4624 的威脅檢測和預防

威脅侦察與阻止對於保護電腦系統和網絡免受恶意活動至关重要。Windows安全性事件日志的基本组成部分事件ID 4624,在這一努力中发挥了重要作用。它表示成功的登錄事件,提供了對用戶活動的洞見,並幫助安全專業人士實時識別和應對潛在威脅。通過分析事件ID 4624及其相關數據,組織積極加強其网络安全态势,及時發現和緩解未授權的訪問嘗試,並確保其數字資產的完整性和機密性。

Windows登錄類型

Windows支持若干種登錄類型,每種都有特定的用途和認證方法。以下是標準Windows登錄類型的列表及其描述:

  1. 互動式登錄(類型2):用於用戶直接在電腦上登錄或通過遠程桌面。這種登錄類型需要用戶名和密碼。
  2. 網絡登錄(類型3):當訪問另一台電腦上的網絡資源時發生。系統將凭证發送給遠程服務器進行認證。
  3. 批次登錄 (類型 4): 用於定時任務或以指定用戶帳號運行的批次工作; 非互動性。
  4. 服務登錄 (類型 5): 用於Windows服務,随Service Control Manager自动或手動启动。
  5. 解鎖登錄 (類型 7): 當解鎖先前上鎖的工作站時生成的; 不需要新的憑据。
  6. 網絡明文登錄 (類型 8): 少見且不安全; 在网络上以明文形式发送凭据。
  7. 新憑据登錄 (類型 9): 當提供不同的憑据以存取網絡資源時發生。
  8. 遠程互動登錄 (類型 10): 用於遠端桌面連接。
  9. 快取互動登錄 (類型 11): 当未连接到网络时使用缓存的凭据进行本地认证。
  10. 已緩存的遠程互動登錄(類型12):與緩存的互動登錄類似,但用於遠程連接。
  11. 已緩存的解鎖登錄(類型13):在離線狀態下使用緩存的憑據解鎖計算機時生成。
  12. 已緩存的憑據登錄(類型14):此登錄類型使用應用程序或服務使用緩存的憑據訪問網絡資源。
  13. 已緩存的遠程憑據登錄(類型15):與緩存的憑據登錄類似,但用於遠程訪問。
  14. 解鎖(類型21):在解鎖以前被鎖定的工作站時發生。

這些登錄類型對於審計和安全分析非常重要,以監控用戶活動和潛在的安全漏洞

可疑的成功登錄

現在我們已經討論了不同類型的Windows登錄方法,我們開始分析哪些Event ID 4624被惡意攻擊者記錄下來。以下是一些例子:

  • 事件ID 4624,具有登录类型10(远程交互登录),源网络地址为回环地址(127.*.*.*或::1),多数为RDP隧道。
  • 事件ID 4624,登录类型10(远程交互登录),源网络不在我们组织的子网中。
  • 事件ID 4624,登录类型(3和10),源工作站名称和目标均为终端用户设备。
  • 事件ID 4624,具有登录类型(2和10),账户名以$结尾,例如ItSupport$,可能是伪造的机器账户。
  • 事件ID 4624,具有多个来自相同账户名但不同源网络地址的登录类型为3和10的成功登录,被视为可疑。
  • 事件ID 4624,登录类型为2、10和7,账户名类似于内部服务账户(svc_*),可能是服务账户的交互登录。

在不懈追求网络安全的过程中,对可疑的成功登录事件进行监控和响应仍然是一项至关重要且持续进行的努力。

同樣閱讀試試InfraSOS Active Directory報告和審計工具

使用PowerShell獲取Event ID 4624的事件日誌

像Windows操作系統中的其他圖形用戶界面(GUI)一樣,我們通過命令行界面(CLI)命令來訪問信息,例如在Windows PowerShell中提供的命令。為了獲取與Event ID 4624相關的事件日誌,PowerShell為我們提供了方便的cmdlets,如Get-EventLogGet-WinEvent。讓我們演示如何使用PowerShell的Get-EventLog命令檢索Event ID 4624的事件日誌。

$currentDate = [DateTime]::Now.AddDays(-1)
Get-EventLog -LogName "Security" -After $currentDate | Where -FilterScript {$_.EventID -eq 4624}

在上面的語法中:

  • Get-EventLog使用$currentDate變量獲取指定日期的Event ID 4624事件。
  • 它使用LogName参数來確定事件的日誌名稱,例如Security
  • 所有的事件編號都被FilterScript参数过滤掉,等于4624。

我們還可以使用PowerShell中的Get-WinEvent命令來獲取事件編號為4624的事件日誌:

Get-WinEvent -FilterHashtable @{LogName = 'Security'; ID = 4624}

在上述Windows PowerShell腳本中,

  • Get-WinEvent獲取事件編號為4624的日活动誌。
  • 它使用FilterHashtable参数和LogName作为Security来获取这些事件

使用PowerShell的事件cmdlet来检索事件编号4624条目,为成功登录事件提供了强大的监控和响应手段,使主动检测和缓解潜在的网络安全威胁成为可能,在不断演变的网络安全格局中。

感謝您閱讀《什麼是 Windows 事件 ID 4624? – 成功登錄》。我們將在此結束本文。

另請閱讀Windows 伺服器安全最佳實踐:保護您的 Windows 伺服器環境

感謝您閱讀《什麼是 Windows 事件 ID 4624? – 成功登錄》。我們在此結束本文。

什麼是 Windows 事件 ID 4624? – 成功登錄結論

總之,Windows 事件 ID 4624 是系統安全和監控的基石。它是追蹤和理解用戶訪問基於 Windows 的環境的不可或缺工具,通過提供關於誰獲得訪問、何時發生以及從哪裡登錄的信息,提供有價值的見解。事件 ID 4624 使網絡安全專業人員能夠加強他們系統的安全態勢,並迅速響應潛在威脅。它是安全措施武器庫中的重要組成部分,確保數字資產的完整性和機密性,同時實現主動威脅檢測和預防。

Source:
https://infrasos.com/what-is-windows-event-id-4624-successful-logon-2/