ما هو معرف الحدث 4624: تم تسجيل الدخول إلى الحساب بنجاح

الدروس التعليمية

ما هو معرف الحدث 4624: تم تسجيل الدخول بنجاح. ما هو ذلك التسجيل في سجل الأحداث الخاص بك في النطاق Controller سجل الحدث؟ في هذه المقالة، نتعرف أكثر على هذا الحدث ونفحص خصائصه.

يشير معرف الحدث 4624 إلى أن المستخدم قد قام بتسجيل الدخول بنجاح إلى Controller النطاق (أو محطة العمل). ومع ذلك، يجدر التحليل الدقيق لسجل الحدث، خاصةً إذا كان الحساب غير مألوف لديك أو إذا كنت تشتبه في أن حساب AD قد تم اختراقه.

تعرف هنا على معرف الحدث 4624 وكيفية تشخيص أي مشاكل في بيئة Active Directory الخاصة بك بسبب هذا الحدث.

اقرأ أيضًا كيفية تأمين Azure AD ضد التهديدات السيبرانيةخصائص “الموضوع” لمعرف الحدث 4624

أيدي الحدث 4624 “الموضوع” الخصائص

الخاصية 1 من أيدي الحدث 4624 هي “الموضوع” الحدث. يسجل الموضوعالحساب الذي طلبالدخول.

يحتوي موضوع الحدث على الخصائص الفرعية التالية:

1. الأمان معرف (SID): SID (معرّف الأمان) الحساب الذي أبلغ عنتسجيل الدخول الناجح. يحاول عارضة الأحداث تلقائيًا تحليل SID الحساب الذي سجل الحدث.

ومع ذلك، إذا لم يتمكن من تحليل SID الحساب (كما هو الحال في معظم الحالات)، يسجل أيدي الحدث 4624 SID NULL (لا يوجد قيمة) في حقل الأمان المعرف.
2. اسم الحساب: يبلغ عن اسم الحساب الذي يسجلالدخول الناجح للحساب. يساعدك هذا المعلومات على تحديد ما إذا كان هذا حسابًا مستخدم أو خدمة مشروعة في Active Directory.

الأمان مثل معرف الحقل، يمكن أن يكون حقل اسم الحساب فارغًا. إذا لم يتم تسجيل اسم الحساب هنا، يمكن أن يتم تسجيله في خاصية “تسجيل دخول جديد” (انظر القسم 4 أدناه).
3. نطاق الحساب: نطاق الحساب الذي سجل الحدث (“نطاق الموضوع”). بديلًا، يمكن أن يعرض نطاق الحساب اسم الكمبيوتر الذي سجل الحدث التسجيل الناجح.

يعرض معرف الحدث 4624 نطاق الحساب بإحدى الطرق الثلاث: اسم NetBIOS للنطاق، على سبيل المثال، infrasos، الاسم الكامل للنطاق بأحرف صغيرة (infrasos.com)، أو بأحرف كبيرة (INFRASOS.COM).

بغض النظر عن كيفية تسجيل برنامج مراقبة الحدث لحقل نطاق الحساب، تساعدك المعلومات في تحديد مجال AD الذي ينتمي إليه الحساب. هذه المعلومات مفيدة للتحليل وخاصة إذا كنت تدير غابة AD متعددة النطاقات.
4. معرف تسجيل الدخول: هذا الحقل هو قيمة ست عشرية يمكنك استخدامها لربط هذا الحدث بالأحداث الأخيرة التي قد تحمل نفس معرف تسجيل الدخول. علاوة على ذلك، يساعدك هذا في تحديد أي نماذج أو شذوذات في الأحداث وتحليل أي مشاكل ذات صلة.

خصائص “معلومات تسجيل الدخول” لرقم الحدث 4624

تحتوي قسم معلومات تسجيل الدخول في رقم الحدث 4624 – تم تسجيل تسجيل دخول ناجح – على 4 خصائص فرعية – نوع تسجيل الدخول، ووضع المسؤول المحدود، والحساب الظاهري، والرمز المرتفع.

1. نوع تسجيل الدخول: نوع تسجيل الدخول الذي سجل الحدث الناجح لتسجيل الدخول. تتراوح القيم من 0 إلى 13.

لمعرفة معنى كل رقم، قم بزيارة قسم أنواع تسجيل الدخول ووصفها في صفحة Microsoft لحدث 4624.

تسجيل المعلومات في حقل “نوع تسجيل الدخول” من رقم الحدث 4624 يساعد المسؤولين على تحديد كيفية حدوث تسجيل الدخول.

نصيحة محترف: إذا سجل رقم الحدث 4624 نوع تسجيل دخول بقيمة 10 (تسجيل الدخول التفاعلي عن بُعد) مع مصدر شبكة حلقي (127.0.0.0) ، فيجب عليك معاملة هذا كتسجيل دخول ناجح مشبوه، حيث يمكن أن يشير إلى هجوم على النفق RDP.

انظر إلى قسم معلومات الشبكة في هذا الدليل للحصول على معلومات حول “الشبكة المصدرية”.

وضع المسؤول المقيد: يتم ملءه فقط إذا نجح المستخدم في تسجيل الدخول عن بعد باستخدام خدمات المحطة أو سطح المكتب البعيد (“نوع تسجيل الدخول” 10، جلسات نوع تسجيل الدخول البعيد).

قيمة وضع المسؤول المقيد هي بوليانية (نعم أو لا) – مما يوضح ما إذا تم تمرير بيانات الاعتماد المقدمة باستخدام وضع المسؤول المقيد. إذا كان نوع تسجيل الدخول ليس 10، فإن حقل وضع المسؤول المقيد هو سلسلة “-“.

الحساب الافتراضي: هو حقل نعم أو لا، يشير إلى ما إذا كان الحساب الذي سجل تسجيل الدخول الناجح هو حساب افتراضي أم لا. مثال على حساب افتراضي هو حساب الخدمة المدارة (المقدمة في ويندوز 7 وخادم ويندوز 2008 R2.

الرمز المرتفع: أيضًا حقل نعم أو لا، يشير إلى ما إذا كان الحساب الذي أحدث تسجيل الدخول الناجح (الحدث رقم 4624) هو حساب مسؤول.

قراءة أيضًا كيفية العثور على وقت تسجيل الدخول الأخير لمستخدمي Active Directory (باستخدام ADUC)

خصائص رقم الحدث 4624 “مستوى التمثيل”

يوضح حقل مستوى التمثيل مدى تمثيل العملية في جلسة تسجيل الدخول. وقد منح العميل الخادم إذنًا للتصرف نيابة عنه في حالة التمثيل الناجحة.

عندما يحدث هذا، فإن مستويات التمثيل تشير إلى مدى السلطة الممنوحة للخادم عندما يفترض هوية العميل. تتميز هذه المستويات بدرجات مختلفة من التمثيل المسجلة في رقم الحدث 4624.

المستويات المختلفة للتمثيل المسجلة في سجل الحدث 4624 لعملية تسجيل دخول ناجحة هي كما يلي:

1. مجهول: يعترف الخادم بأنه لا يعرف هوية العميل. لذلك، لا يمكن للخادم أن يفترض ويمثل هوية العميل.2. التعريف: هو المستوى الافتراضي. وعلاوة على ذلك، إذا تم تسجيل هذا كمستوى التمثيل، فإن العميل يسمح للخادم بالحصول على هويته وأداء التحقق من قائمة التحكم في الوصول (ACL) عن طريق افتراض هوية العميل.

2. تحديد: المستوى الافتراضي. علاوة على ذلك، لنفترض أن هذا تم تسجيله كمستوى التظاهر. إذا كان الأمر كذلك، يسمح العميل للخادم بالحصول على هويته وإجراء التحقق من قوائم السيطرة التصفيقية (ACL) عن طريق افتراض هوية العميل.

3. التظاهر: يفترض سياسة الأمان الأمان للعميل في هذا الشكل السائد من التظاهر. ومع ذلك، لا يستطيع الخادم التظاهر بأنه العميل على الأنظمة البعيدة.

4. التكليف: يشير إلى أن عملية الخادم تظاهر سياسة الأمان للعميل على الأنظمة البعيدة.

معرفة الحدث 4624 “تسجيل جديد” الخصائص

تظهر حقول تسجيل جديد الحساب الذي تسجل عليه، وهو الحساب لأجله تم إنشاء التسجيل الجديد.

بالمقارنة بين اسم الكمبيوتر مع دائرة الحساب، تحدد ما إذا كان الحساب محليًا أم مجال. إذا كان اسم الكمبيوتر يتطابق مع دائرة الحساب، فإن الحساب هو حساب محلي على هذا النظام.

ومع ذلك، إذا لم يتطابقوا، فهو حساب مجال.

الحقل تسجيل الدخول الجديد يتألف من عدة حقول جزئية، مقسمة إلى فئتين – الحساب ومعلومات الشبكة للمستخدم.

“تسجيل الدخول الجديد” معلومات الحساب

1. معرف الأمان (SID): معرف الأمان للحساب الذي سجل حدث “تم تسجيل الدخول بنجاح” رقم المعرف 4624. عندما يسجل مراقب الأحداث هذا الحدث، يحاول تحليل SID.

ومع ذلك، إذا لم يتمكن من تحليل SID إلى اسم الحساب، فإنه يعرض مصدر الحدث بدلاً من ذلك.

2. اسم الحساب: يؤدي التسجيل الدخول الناجح.

3. دائرة الحساب: قد يسجل ملف الأحداث أي من التنسيقات التالية لاسم المجال: NETBIOS (على سبيل المثال، infrasos)، صغير (infrasos.com)، أو كبير (INFRASOS.COM).

علاوة على ذلك، يعرض حقل دائرة الحساب “NT AUTHORITY” إذا كان حساب تسجيل الدخول هو LOCAL SERVICE أو ANONYMOUS LOGON.

4. معرف تسجيل الدخول: قيمة سداسي عشرية مثل 0x8A1E427. مهمة للتصحيح لأنها تربط هذا الحدث بالأحداث الأخرى الأخيرة التي لها نفس معرف تسجيل الدخول.

5. Linked Logon ID: يمثل قيمة سداسي عشرية معينة لجلسة التسجيل المقابلة. في حالة عدم وجود أحداث تسجيل مرتبطة أخرى، يكون قيمة Linked Logon ID هي “0x0”.

6. Logon GUID: يسمح بربط event id 4624 بحدث آخر بنفس معرف GUID التسجيل. بهذه الطريقة، يتم إنشاء علاقة بين حدثين قد يبدوان غير مرتبطين، مما يمنحك فهمًا أكثر شمولاً لأي تهديد محتمل لبيئة Active Directory الخاصة بك.

“تسجيل جديد” حقول معلومات الشبكة

7. اسم حساب الشبكة: ينطبق فقط على نوع التسجيل “NewCredentials” كما ناقشنا سابقًا. ومع ذلك، إذا كان نوع التسجيل مختلفًا عن “NewCredentials”، فإن حقل اسم حساب الشبكة يُسجل كـ ” – ” في عارضة الأحداث.

8. مجال حساب الشبكة: ينطبق فقط على نوع “NewCredentials” تسجيل الدخول، تمامًا مثل اسم حساب الشبكة. إذا كان المستخدم يقوم بإتصال شبكة، فسيستخدم اسم المجال المحدد في هذا الحقل.

ومع ذلك، إذا لم يكن نوع التسجيل “NewCredentials”، يتم تسجيل ” – ” في Event Viewer في حقل مجال حساب الشبكة.”

رقم الحدث 4624 “معلومات العملية” الخصائص

يوفر حقل معلومات العملية في سجل الحدث معلومات حول العملية التي سجلت بنجاح حدث تسجيل الدخول.

1. معرف العملية: قيمة سداسية عشرية تستخدمها ويندوز (وغيرها من أنظمة التشغيل) لتحديد العملية بشكل فريد. يعرض Event Viewer معرف العملية في هذا الحقل إذا تم تسجيل الدخول بنجاح إلى Active Directory وتسجيل رقم الحدث 4624.

لعرض معرف عملية كافة العمليات التي تعمل حاليًا على جهاز الكمبيوتر الخاص بك على Windows، افتح باور شيل وقم بتشغيل الأمر Get-Process.

قم بتحويل القيمة السداسية العشرية لمعرف العملية في معرف الحدث 4624 إلى عشري. عند القيام بذلك، قارن معرف العملية بواحدة من المعرفات التي أرجعتها أمر PowerShell Get-Process الأمر.

2. اسم العملية: يسجل حدث تسجيل الدخول الناجح.

معرف الحدث 4624 “معلومات الشبكة” الخصائص

في هذا القسم من الحدث، تجد معلومات قيمة لأغراض التصحيح. على سبيل المثال، يظهر من أي جهاز حاسوبي تم تسجيل الدخول منه المستخدم. بالإضافة إلى ذلك، تمنحك حقول معلومات الشبكة عنوان IP للجهاز والمنفذ المستخدم.

1. اسم جهاز العمل: يسجل اسم الكمبيوتر الذي بدأ المستخدم منه تسجيل الدخول. إذا نشأ التسجيل من نفس الكمبيوتر، تم تسجيل الحدث، أو إذا كان تسجيل دخول كيربورس، فإن اسم جهاز العمل الحقل فارغ.

2. عنوان شبكة المصدر: يسجل عنوان IP للكمبيوتر الذي تم تسجيل الدخول منه. إذا رأيت “::1” (IPv6) أو “127.0.0.1” (IPv4) في هذا الحقل، فهذا يعني أن المستخدم تسجل الدخول من نفس الكمبيوتر الذي تم إنشاء سجل الحدث فيه. بعبارة أخرى، تم تسجيلهم محليًا.

3. منفذ المصدر: يسجل منفذ TCP المصدر للكمبيوتر البعيد المستخدم لتسجيل الدخول.

رقم الحدث 4624 “معلومات توثيق مفصلة” الخصائص

في الحقل الأخير، نكتشف كيف حدث عملية التوثيق . يحتفظ بسجل للعملية المسؤولة عن التوثيق والحزمة المستخدمة. علاوة على ذلك، يظهر حقل “معلومات التوثيق المفصلة” تفاصيل أخرى حاسمة مثل الخدمات المنقولة، اسم الحزمة، وطول المفتاح.

1. عملية الدخول: يلتقط اسم عملية الدخول الموثوقة التي استخدمها المستخدم للدخول عندما سجل النظام معرف الحدث 4624، مشيرًا إلى “تم تسجيل حساب بنجاح.”

2. حزمة التوثيق: يسجل نوع حزمة التوثيق المستخدمة لإجراء توثيق الحساب.

تُستخدم أشهر حزم التوثيق عادةً NTLM و Kerberos و Negotiate، التي تختار بين بروتوكولات Kerberos و NTLM.

3. الخدمات المنقولة (فقط Kerberos): يسرد الخدمات المنقولة. يتم إعداد هذا الحقل إذا نتج الدخول عن عملية S4U (Service For User) .

4. اسم الحزمة(NTLM فقط): إذا تم توثيق طلب الدخول باستخدام متصفح NTLM (بدلاً من Kerberos)، يسجل حقل اسم الحزمة إصدار NTLM. على وجه التحديد، يسجل إصدار مكتبة الشبكة، فرعية من بروتوكول توثيق NTLM.

أخيرًا، يسجل حقل اسم الحزمة NTLM V1 أو NTLM V2 أو LM.

5. طول المفتاح: ينطبق فقط على بروتوكول توثيق NTLM. لذا، إذا تم توثيق Kerberos طلب الدخول الذي تم تسجيله بنجاح برقم الحدث 4624، يكون حقل طول المفتاح “0”.

ومع ذلك، إذا تم توثيق الطلب باستخدام بروتوكول NTLM، يكون طول المفتاح 128 أو 56 بت.

ما هو رقم الحدث 4624: تم تسجيل حساب بنجاح

في الختام، قد تناول هذا المقال مجالات متعددة ذات صلة بـرقم الحدث 4624، الذي يُستخدم لتتبع التوثيق الناجحللدخول إلى نظام Windows.

وصف المقال الخصائص المختلفة المرتبطة بهذا الحدث، بما في ذلك الموضوع، معلومات التوثيق، مستوى التنكر، التوثيق الجديد، معلومات العملية، معلومات الشبكة، و معلومات التوثيق الشخصي المفصلة.

فهم هذه الخصائص يساعد على مراقبة Active Directory وإكتشاف المخاطر المحتملة لانتهاك الأمان.

Source:
https://infrasos.com/what-is-event-id-4624-an-account-was-successfully-logged-on/