Apoyo
 
Nosotros: + 1888 720 9500
Estados Unidos: +1888791 1189
Internacional: +1925924 9500
Aus: +1800 631268
Reino Unido: 0800 028 6590
CN: +86400660 8680

Marcación interna directa: +1 408 916 9892

Características

Id. De evento de Windows 4624: inicio de sesión correcto

Introducción

El ID de evento 4624 (visto en el Visor de eventos de Windows) documenta cada intento exitoso de iniciar sesión en una computadora local . Este evento se genera en el equipo al que se accedió, es decir, donde se creó la sesión de inicio de sesión. Un evento relacionado, el ID de evento 4625 documenta los intentos fallidos de inicio de sesión.

El evento 4624 se aplica a los siguientes sistemas operativos: Windows Server 2008 R2 y Windows 7, Windows Server 2012 R2 y Windows 8.1, y Windows Server 2016 y Windows 10. Los eventos correspondientes en Windows Server 2003 y versiones anteriores incluyeron 528 y 540 para inicios de sesión exitosos.

El Id. De evento 4624 se ve un poco diferente en Windows Server 2008, 2012 y 2016. En las capturas de pantalla siguientes se destacan los campos importantes de cada una de estas versiones.  

Evento 4624 (Windows 2008)

Evento 4624 (Windows 2008)

Evento 4624 (Windows 2012)

Evento 4624 (Windows 2016)

Descripción de los campos de eventos

La  información importante que se puede derivar del evento 4624 incluye:

  • Tipo de inicio de sesión: este campo revela el tipo de inicio de sesión que se produjo. En otras palabras, señala  cómo inició sesión el usuario . Hay un total de nueve tipos diferentes de inicios de sesión, los tipos de inicio de sesión más comunes son: tipo de inicio de sesión 2 (interactivo) y tipo de inicio de sesión 3 (red). Cualquier tipo de inicio de sesión que no sea 5 (que denota un inicio de servicio) es una señal de alerta.
  • Nuevo inicio de sesión: esta sección revela el  nombre de cuenta del usuario para el que se creó el nuevo inicio de sesión y el  ID de inicio de sesión , un valor hexadecimal que ayuda a correlacionar este evento con otros eventos.
Tipo de inicio de sesión Descripción
2
- Inicio de sesión interactivo

Ocurre cuando un usuario inicia sesión usando el teclado y la pantalla locales de una computadora.

3
+ Inicio de sesión en red

Se produce cuando un usuario accede a impresoras o recursos compartidos de archivos remotos. Además, la mayoría de los inicios de sesión en Internet Information Services (IIS) se clasifican como inicios de sesión de red (excepto los inicios de sesión IIS que se registran como tipo de inicio de sesión 8).

4
+ Inicio de sesión por lotes

Ocurre durante las tareas programadas, es decir, cuando el servicio Programador de Windows inicia una tarea programada.

5
+ Inicio de sesión de servicio

Ocurre cuando los servicios y las cuentas de servicio inician sesión para iniciar un servicio.

7
+ Desbloquear inicio de sesión

Ocurre cuando un usuario desbloquea su máquina con Windows.

8
+ Inicio de sesión de NetworkClearText

Ocurre cuando un usuario inicia sesión en una red y la contraseña se envía en texto sin cifrar. La mayoría de las veces indica un inicio de sesión en IIS mediante "autenticación básica".

9
+ Inicio de sesión de NewCredentials

Ocurre cuando un usuario ejecuta una aplicación usando el comando RunAs y especifica el modificador / netonly.

10
+ Inicio de sesión interactivo remoto

Ocurre cuando un usuario inicia sesión en su computadora utilizando aplicaciones basadas en RDP como Terminal Services, Escritorio remoto o Asistencia remota.

11
+ Inicio de sesión interactivo en caché

Ocurre cuando un usuario inicia sesión en su computadora usando credenciales de red que se almacenaron localmente en la computadora (es decir, no se contactó al controlador de dominio para verificar las credenciales).

Otra información que se puede obtener del Evento 4624:

  • La sección Asunto revela la cuenta en el sistema local (no el usuario) que solicitó el inicio de sesión.
  • La sección Nivel de suplantación revela hasta qué punto un proceso en la sesión de inicio de sesión puede suplantar a un cliente. Los niveles de suplantación determinan las operaciones que un servidor puede realizar en el contexto del cliente.
  • La sección Información del proceso revela detalles relacionados con el proceso que intentó iniciar sesión.
  • La sección Información de red revela dónde estaba el usuario cuando inició sesión. Si el inicio de sesión se inició desde la misma computadora, esta información estará en blanco o reflejará el nombre de la estación de trabajo y la dirección de red de origen de la computadora local. 
  • La información de autenticación revela información sobre el paquete de autenticación utilizado para el inicio de sesión.

Razones para monitorear inicios de sesión exitosos

  Seguridad

Para  evitar el abuso de privilegios , las organizaciones deben estar atentas a las acciones que realizan los usuarios privilegiados, comenzando con los inicios de sesión.

Para  detectar actividad anormal y potencialmente maliciosa , como un inicio de sesión desde una cuenta inactiva o restringida, usuarios que inician sesión fuera del horario laboral normal, inicios de sesión simultáneos a muchos recursos, etc.

  Operacional

Para obtener  información sobre la actividad del usuario, como la asistencia del usuario, las horas pico de inicio de sesión, etc.

  Cumplimiento

Para cumplir con los mandatos regulatorios, se necesita información precisa sobre los inicios de sesión exitosos.

La necesidad de una herramienta de terceros

En un entorno de TI típico, la cantidad de eventos con ID 4624 (inicios de sesión exitosos) puede llegar a miles por día. Sin embargo, todos estos eventos de inicio de sesión exitosos no son importantes; incluso los eventos importantes son inútiles de forma aislada, sin ninguna conexión establecida con otros eventos.  

Por ejemplo, mientras que el Evento 4624 se genera cuando una cuenta inicia sesión y el Evento 4647 se genera cuando una cuenta cierra la sesión, ninguno de estos eventos revela la duración de la sesión de inicio de sesión. Para encontrar la duración del inicio de sesión, debe correlacionar el Evento 4624 con el Evento 4647 correspondiente mediante el ID de inicio de sesión. 

Por lo tanto, es necesario realizar un  análisis y correlación de eventos . Las herramientas nativas y los scripts de PowerShell exigen experiencia y tiempo cuando se emplean con este fin, por lo que una herramienta de terceros es verdaderamente indispensable.

Al aplicar el aprendizaje automático, ADAudit Plus crea una línea base de actividades normales específicas para cada usuario y solo notifica al personal de seguridad cuando hay una desviación de esta norma.

Por ejemplo, un usuario que accede de manera constante a un servidor crítico fuera del horario comercial no desencadenaría una alerta de falso positivo porque ese comportamiento es típico de ese usuario. Por otro lado, ADAudit Plus alertaría instantáneamente a los equipos de seguridad cuando ese mismo usuario acceda a ese servidor durante un tiempo en el que nunca antes había accedido, aunque el acceso se encuentre dentro del horario comercial.

Si desea explorar el producto usted mismo, descargue la versión de prueba gratuita y completamente funcional de 30 días.

Si desea que un experto lo lleve a través de un recorrido personalizado del producto, programe una demostración.

Los 8 eventos de seguridad de Windows más críticos que debe monitorear.

 

¡Gracias por su interés!

Hemos enviado la guía a su bandeja de entrada.

Gracias por su visita.

Antes de irse, consulte nuestra guía sobre los 8 eventos de seguridad de Windows más críticos que debe monitorear.

Ingrese la dirección de correo electrónico comercial
  •  
  • Al hacer clic en ' Obtener la guía gratuita ', acepta el procesamiento de datos personales de acuerdo con la Política de privacidad .

ADAudit Plus cuenta con la confianza de