Вы часто можете встретить сообщение с кодом события 4624: «Учетная запись успешно зарегистрирована» в средстве просмотра событий во время обычного аудита. Однако беспокоиться не о чем, поскольку это обычный журнал безопасности Windows, который создается каждый раз, когда вы успешно входите в систему. Итак, если вам когда-нибудь понадобится проверить историю входов пользователей, вам нужно будет найти идентификатор события 4624.
Однако это может вызвать беспокойство, если учетная запись кажется вам незнакомой или вы подозреваете, что ваша учетная запись могла быть взломана. В таком случае вам необходимо правильно просмотреть журнал безопасности Windows в средстве просмотра событий, чтобы выявить любые угрозы и соответствующим образом устранить их.
Код события 4624: вход в учетную запись был успешно выполнен.
При этом у нас есть подробное руководство, которое поможет вам понять все о событии Windows с кодом 4624 и о том, как обнаружить любые проблемы.
Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)
Что такое идентификатор события 4624?
Событие с кодом 4624 в журнале событий Windows указывает на каждый успешный сеанс входа в систему на конечном компьютере. Этот параметр аудита генерируется на компьютере, к которому вы получили доступ, и на котором вы создали сеанс. Итак, если кто-то шпионит за вашим компьютером, вам нужно искать этот идентификатор события.
Кроме того, это очень ценная информация, которая точно скажет вам, кто (пользователь) вошел в систему и с какой учетной записи. Для этого вы можете проверить поле «Новый вход в систему», в котором отображаются следующие данные:
- Идентификатор безопасности
- Имя учетной записи
- Домен аккаунта
- Логин ID
Однако ниже мы также объясним другие свойства, связанные с событием с идентификатором 4624.
Примечание. Этот параметр аудита можно настроить в локальной политике безопасности или редакторе групповой политики (gpedit.msc). Затем вы можете изменить параметры аудита, чтобы отслеживать успешные попытки входа в систему в целях безопасности. Однако эти настройки могут записывать события только на локальном компьютере, а не на контроллере домена.
Свойства события Windows с идентификатором 4624
Свойства идентификатора события можно найти на вкладке «Общие». Здесь вы найдете следующие поля:
1) Тема
Идентификатор безопасности (SID):
Это означает, что произошел успешный вход в систему.
Имя учетной записи
Имя учетной записи, в которой зафиксирован успешный вход. Это поможет вам определить, является ли это законной учетной записью.
Домен аккаунта
Домен учетной записи/имя компьютера, на котором было записано событие, полезен для устранения неполадок.
Идентификатор входа в систему
Обозначает шестнадцатеричное значение, которое может помочь связать это событие с любым из недавних событий, которые могут иметь тот же идентификатор входа в систему. Более того, это также поможет вам выявить любые проблемы с событиями и соответствующим образом устранить неполадки.
Читайте: Как отключить журнал событий Windows.
2) Информация для входа в систему
Это свойство включает в себя следующее:
Тип входа в систему
Тип входа в систему Название входаОписание0СистемаИспользуется исключительно системной учетной записью, например, во время запуска системы.2ИнтерактивныйПользователь вошел в систему на этом компьютере.3СетьПользователь или компьютер вошел в систему на текущей рабочей станции из сети.4Пакетная обработкаИспользуется серверами пакетной обработки, на которых могут выполняться процессы от имени пользователя без его прямого участия.5СервисСлужба была запущена диспетчером управления службами.7РазблокироватьЭтот компьютер был разблокирован.8СетьОчистить текстПользователь вошел в систему на этом компьютере из сети. Затем пароль пользователя был передан в пакет аутентификации в нехешированном виде. Встроенная система аутентификации упаковывает все хэш-учетные данные перед отправкой их по сети. Учетные данные не передаются по сети в виде открытого текста (также называемого открытым текстом). 9NewCredentialsВызывающий абонент клонировал свой текущий токен и указал новые учетные данные для исходящих соединений. Новый сеанс входа в систему имеет тот же локальный идентификатор, но использует другие учетные данные для других сетевых подключений. 10RemoteInteractiveПользователь вошел в систему на этом компьютере удаленно с помощью служб терминалов или удаленного рабочего стола. 11CachedInteractiveПользователь вошел в систему на этом компьютере с сетевыми учетными данными, которые хранились локально на компьютере . С контроллером домена не удалось связаться для проверки учетных данных. 12CachedRemoteInteractiveТо же, что и RemoteInteractive. Используется для внутреннего аудита.13CachedUnlockWorkstation вход в систему.
*Данные предоставлены Microsoft.
Ограниченный режим администратора
Вы увидите это только тогда, когда пользователь успешно входит в систему удаленно через службы терминалов или удаленный рабочий стол. Значение «Ограниченного режима администрирования» является логическим, то есть «Да» или «Нет».
Виртуальный счет
Опять же, значением виртуальной учетной записи является либо «Да», либо «Нет». Это указывает, является ли учетная запись, задокументировавшая успешный вход в систему, виртуальной учетной записью или нет. Например, управляемая учетная запись службы.
Повышенный токен
Это снова поле «Да» или «Нет», обозначающее, является ли учетная запись, инициировавшая успешный вход в систему (идентификатор события 4624), учетной записью администратора или нет.
3) Уровень олицетворения
В этом поле указывается, насколько процесс в сеансе входа в систему олицетворяет (имитирует). Это уровень полномочий, разрешенный серверу для имитации клиента от его имени. Существует 4 различных уровня: анонимный, идентификация, олицетворение и делегирование.
Прочтите: журнал безопасности заполнен (код события 1104).
4) Новый вход в систему
Это учетная запись, которая фактически входила в систему и для которой был создан сеанс входа. Вы можете сравнить имя компьютера с доменом учетной записи, чтобы определить, является ли он локальным или доменным. Если оно совпадает, оно локально; если нет, то это учетная запись домена.
Кроме того, он разделен на две категории: информация об учетной записи и сетевая информация:
Информация Об Учетной Записи
- Идентификатор безопасности — идентификатор безопасности, который зафиксировал успешный вход в систему с кодом события безопасности Windows 4624.
- Имя учетной записи — обеспечивает успешный вход в систему.
- Домен учетной записи. Имя домена может быть в одном из следующих форматов: NeTBIOS-имя домена, в нижнем или верхнем регистре. Но если в домене учетной записи указано NT AUTHORITY, это означает, что учетная запись входа является ЛОКАЛЬНОЙ СЛУЖБОЙ или АНОНИМНЫМ ВХОДОМ.
- Идентификатор входа в систему — отображает шестнадцатеричное значение, полезное для устранения неполадок.
- Связанный идентификатор входа в систему — опять же шестнадцатеричное значение, относящееся к сеансу входа в систему. Если связанных событий входа в систему нет, значение равно 0x0.
- GUID — позволяет связать два события, одно из которых имеет идентификатор 4624, а другое — с тем же GUID, что помогает вам идентифицировать потенциальную угрозу.
Информация о сети
- Имя сетевой учетной записи — относится только к типу входа в систему NewCredentials, однако, если тип входа в систему другой, то имя сетевой учетной записи документируется как «–».
- Домен сетевой учетной записи — применимо только к типу входа NewCredentials. Если пользователь хочет создать сетевое подключение, ему необходимо будет использовать имя домена, указанное в этом поле. Но если тип входа в систему другой, он будет записан как «–».
5) Информация о процессе
В этом поле представлены сведения о процессе, который документировал успешное событие входа в систему.
- Идентификатор процесса — отображает шестнадцатеричное значение, которое Windows и другие ОС используют исключительно для идентификации процесса. Чтобы просмотреть идентификатор процесса всех процессов, которые в данный момент выполняются на вашем ПК с Windows, запустите PowerShell, выполните команду Get-Process и нажмите Enter. Теперь измените шестнадцатеричное значение идентификатора процесса на десятичное в событии с идентификатором 4624. Это поможет вам сравнить идентификатор процесса с одним из идентификаторов, созданных командой Get-Process PowerShell.
- Имя процесса — документирует успешный вход в систему.
Прочтите: идентификатор события 1101. События аудита были удалены транспортом. 0
6) Информация о сети
В этом разделе представлена важная информация, связанная с устранением неполадок. Например, с какого компьютера вошел пользователь, IP-адрес ПК и используемый порт.
- Имя рабочей станции — документирует имя компьютера, с которого пользователь вошел в систему.
- Исходный сетевой адрес — регистрирует IP-адрес компьютера, с которого пользователь вошел в систему.
- Исходный порт — записывает исходный TCP-порт удаленного компьютера, который использовался для входа в систему.
7) Подробная информация аутентификации
Это поле показывает, как инициируется процесс аутентификации. Он ведет запись процесса, в котором использовалась аутентификация и пакет. Он также показывает другие сведения, такие как транзитные службы, имя пакета и длину ключа.
- Процесс входа в систему — отображает имя процесса входа с проверкой подлинности, который пользователь использовал для входа в систему, когда система записала событие Windows с кодом 4624.
- Пакет аутентификации — регистрирует тип пакета аутентификации, который использовался для входа на этот компьютер.
- Транзитные службы: отображаются только переданные службы (только для Kerberos).
- Имя пакета — документирует версию NTLM, если запрос на вход был аутентифицирован протоколом NTLM.
- Длина ключа — применимо только для протокола аутентификации NTLM. Для других поле возвращает 0.
Кроме того, для события с идентификатором 4624: Майкрософт содержит некоторые дополнительные рекомендации относительно типа мониторинга, необходимого в зависимости от ситуации.
Что такое идентификатор события 4625?
Событие с кодом 4625 регистрируется всякий раз, когда пользователю не удается войти на локальный компьютер. Это событие заполняется на устройстве, с которого пользователь пытался войти в систему. Кроме того, для выявления неудачных входов в систему вы можете создать сценарий PowerShell, который поможет вам найти журналы событий Windows с идентификатором события 4625.
Что такое идентификатор события 4634?
Код события 4634 указывает на то, что учетная запись была отключена. Это означает, что всякий раз, когда сеанс входа в систему завершается (выход из системы), генерируется событие 4634. Однако это отличается от события с кодом 4647, которое означает, что пользователь начал выход из системы. В данном случае он просто зарегистрировал, что сеанс больше не запущен и завершился.
