你可能会经常遇到 事件 ID 4624:帐户已成功登录 例行检查期间事件查看器中的消息。 不过,无需担心,因为这是常规变体 Windows 每当您成功登录计算机时就会创建安全日志。 因此,如果您在任何时候需要检查用户的登录历史记录,则需要查找事件 ID 4624。
但是,如果帐户看起来不熟悉或者您怀疑您的帐户已被黑客入侵,则可能会引起担忧。 在这种情况下,您需要检查 Windows 正确登录事件查看器以检测任何威胁并相应地进行修复。
事件 ID 4624:帐户已成功登录
但是,我们有详细的指南来帮助您了解有关它的一切 Windows 事件 ID 4624 以及如何识别任何问题。
4624 事件 ID 是什么?
事件 ID 4624 在 Windows 事件日志显示目标计算机上的每个成功登录会话。 此审核设置是在您访问并创建会话的计算机上生成的。 因此,如果有人正在窥探您的计算机,这就是要查找的事件 ID。
这也是一条非常有价值的信息,可以准确地告诉您谁(用户)使用哪个帐户登录。 你可以检查这个 新注册 显示以下详细信息的字段:
- 安全ID
- 帐户名称
- 账户域名
- 登录ID
不过,下面我们还解释了与事件 ID 4624 相关的其他属性。
笔记 – 您可以在以下位置配置此监控设置: 本地安全策略 或者 组策略编辑器 (gpedit.msc)。 然后,出于安全原因,您可以更改审核选项以监控成功的登录尝试。 但是,这些设置只能记录本地计算机上的事件,而不能记录域控制器上的事件。
Windows 事件 ID 4624 属性
事件 ID 的属性可以在下面找到 一般来说 选项卡。在这里您将找到以下字段:
1]主题
安全ID(SID):
则表明登录成功。
帐户名称
记录成功登录的帐户名称。 这将帮助您确定它是否是合法帐户。
账户域名
记录事件的帐户/计算机名称的域有助于排除故障。
登录ID
标识一个十六进制值,可用于将此事件与可能具有相同登录 ID 的最新事件之一关联起来。 它还可以帮助您识别事件的任何问题并进行故障排除。
如何停用 Windows 事件日志
2]证书
该属性包括以下内容:
登录类型
| 登录类型 | 注册名称 | 描述 |
|---|---|---|
0 | System | 由系统帐户专用,例如 B. 系统启动时。 |
2 | Interactive | 用户已登录到这台计算机。 |
3 | Network | 通过网络登录到当前工作站的用户或计算机。 |
4 | Batch | 由批处理服务器使用,允许进程代表用户运行,而无需用户直接参与。 |
5 | Service | 服务由服务控制管理器启动。 |
7 | Unlock | 这台计算机已解锁。 |
8 | NetworkCleartext | 用户已通过网络登录到此计算机。 然后,用户的密码以未散列的形式传递到身份验证包。 集成身份验证会在通过网络发送所有哈希凭据之前将其汇集在一起。 凭据不会以纯文本(也称为纯文本)形式遍历网络。 |
9 | NewCredentials | 呼叫者克隆了他们当前的令牌并提供了新的出站凭据。 新的登录会话具有相同的本地身份,但针对不同的网络连接使用不同的凭据。 |
10 | RemoteInteractive | 用户使用终端服务或远程桌面远程登录到此计算机。 |
11 | CachedInteractive | 用户使用本地存储在计算机上的网络凭据登录到此计算机。 未联系域控制器来验证凭据。 |
12 | CachedRemoteInteractive | 与远程交互相同。 这是为了内部审计。 |
13 | CachedUnlock | 上班时登记。 |
*数据礼貌 -微软
受限管理模式
仅当用户使用终端服务或远程桌面成功远程登录时才会出现此情况。 “受限管理模式”的值为布尔值,即“是”或“否”。
虚拟账户
同样,虚拟账户的价值要么是“是”,要么是“否”。 这表明记录成功登录的帐户是否是虚拟帐户。 例如托管服务帐户。
增加代币
这又是一个“是”或“否”字段,指示发起成功登录(事件 ID 4624)的帐户是否为帐户 admin 帐户与否。
3]模仿阶段
该字段指示进程在登录会话中模拟(模拟)的程度。 这是服务器授予代表其模拟客户端的权限级别。 四个不同的级别是匿名、身份识别、模拟和委托。
安全日志现已满(事件 ID 1104)
4] 新的 登录
这是实际登录并为其创建登录会话的帐户。 您可以将计算机名称与帐户域进行比较,以确定它是本地帐户还是域帐户。 如果匹配,则为本地; 如果不是,那就是域帐户。
另外,分为账户信息和网络信息两类:
帐户信息
- 安全ID – 注册成功登录的SID Windows 安全事件 ID 4624。
- 帐户名称 – 完成登录成功。
- 账户域名 – 域名可以采用以下格式之一: 网络BIOS 域的名称,小写或大写。 但如果显示账户域名 北领地当局这意味着登录帐户是 本地服务 或者 匿名注册。
- 登录ID – 显示十六进制值,有助于故障排除。
- 链接的登录 ID – 同样是相对于登录会话的十六进制值。 如果没有关联的登录事件,则值为 0x0。
- GUID – 允许您关联两个事件,一个事件 ID 为 4624,另一个事件具有相同的 GUID,帮助您识别潜在威胁。
网络信息
- 网络账号 姓 – 只与他们相关 新凭证 但是,如果登录类型是不同的登录类型,则网络帐户名称将记录为“网络帐户名称”。–”。
- 网络账户域 – 仅适用于 新凭证 登录类型。 如果用户想要创建网络连接,则必须使用此字段中指定的域名。 但是,如果登录类型为其他,则将称为“–”。
5]流程信息
此字段包含有关记录成功登录事件的流程的详细信息。
- 进程号 – 显示十六进制值 Windows 和其他操作系统仅用于识别进程。 要显示 进程号 当前正在运行的所有进程 Windows 电脑,启动 力量 Shell执行这个 获取进程 指挥与打击 Enter。 现在更改十六进制值 进程号 将事件 ID 4624 转换为十进制数。 这将帮助您将进程 ID 与生成的 ID 之一进行比较 获取进程 PowerShell 命令。
- 进程名称 – 记录成功注册。
事件 ID 1101,审核事件已从传输中删除。 0
6]网络信息
本节提供重要的故障排除信息。 例如,用户从哪台计算机登录、PC的IP地址和使用的端口。
- 工作站名称 – 记录用户登录的 PC 名称。
- 源网络地址 – 注册用户登录的 PC 的 IP 地址。
- 源端口 – 记录远程计算机登录时使用的原始TCP端口。
7]详细认证信息
该字段表示身份验证过程的启动方式。 它保留使用身份验证和数据包的过程的记录。 它还显示其他详细信息,例如 中转服务, 包名和 密钥长度。
- 注册过程 – 显示系统记录进程时用户登录的经过验证的登录进程的名称 Windows 事件 ID 4624。
- 认证包 – 注册用于登录此计算机的身份验证包类型。
- 中转服务 – 仅显示广播服务(仅限 Kerberos)。
- 包名 – 如果登录请求通过 NTLM 协议进行身份验证,则它会记录 NTLM 版本。
- 密钥长度 – 仅适用于 NTLM 身份验证协议。 对于其他人,该字段被返回 0。
此外,事件 ID 4624: 微软 根据情况所需的监测类型有一些额外的建议。
事件 ID 4625 是什么?
当用户无法登录到本地计算机时,将注册事件 ID 4625。 此事件填充在用户尝试登录的设备上。 此外,要识别失败的登录,您可以创建一个 PowerShell 脚本来帮助您找到它们 Windows 事件 ID 为 4625 的事件日志。
事件 ID 4634 是什么?
事件 ID 4634 表示帐户已注销。 这意味着每当登录会话结束(注销)时,都会生成事件 4634。 但是,这与事件 ID 4647 不同,事件 ID 4647 表示用户已开始注销。 在这种情况下,仅记录会话不再运行并已结束。
