Wat is Event ID 4624: Een account is succesvol aangemeld. Wat is dat logboek in uw Domein Controller gebeurtenislogboek? In dit artikel leren we meer over dit evenement en onderzoeken we de eigenschappen ervan.
Event ID 4624 geeft aan dat een gebruiker succesvol heeft aangemeld bij een Domein Controller (of een werkstation). Het is echter de moeite waard om het gebeurtenislogboek te analyseren, vooral als het account niet bekend voor u is of als u vermoedt dat een AD-account mogelijk gecompromitteerd is.
Leer hier meer over Event ID 4624 en hoe eventuele problemen in uw Active Directory omgeving als gevolg van dit evenement op te lossen.
Lees ook Hoe Azure AD te beveiligen tegen cyberdreigingen
Evenement-ID 4624 “Onderwerp” Eigenschappen
Het eerste kenmerk van evenement-ID 4624 is het evenement “Onderwerp”. Het Onderwerp registreert het account dat de aanmelding heeft aangevraagd.
Het onderwerp van het evenement heeft de volgende sub-eigenschappen:
1. Beveiliging ID (SID): het SID (beveiligings-id) van het account dat de geslaagde aanmelding heeft gemeld. Het Gebeurtenis Voorbeeld probeert automatisch het SID van het account dat het evenement heeft geregistreerd op te lossen.
Echter, als het niet kan oplossen van het account SID (zoals in de meeste gevallen), evenement-ID 4624 registreert een NULL SID (geen waarde) in het veld Beveiliging ID.
2. Accountnaam: meldt de accountnaam die de geslaagde accountaanmelding registreert. Deze informatie helpt u te bepalen of dit een legitiem gebruikers- of serviceaccount is in Active Directory.
Zoals bij het veld Beveiliging het geval is, kan het veld Accountnaam leeg zijn. Als de accountnaam hier niet is geregistreerd, kan deze geregistreerd zijn in de eigenschap “Nieuwe aanmelding” (zie sectie 4 hieronder).
3. Accountdomein: het domein van de account dat het evenement heeft geregistreerd (“domein van het onderwerp”). Als alternatief kan Accountdomein de naam van de computer weergeven die het succesvolle aanmeldingsevenement heeft geregistreerd.
Het evenement-ID 4624 geeft het Accountdomein op een van de 3 manieren weer: de NetBIOS-naam van het domein, bijvoorbeeld, infrasos, de volledig gekwalificeerde domeinnaam in kleine letters (infrasos.com), of in hoofdletters (INFRASOS.COM).
Ondanks hoe Event Viewer het veld Accountdomein registreert, helpt de informatie u bij het bepalen van het AD-domein waartoe de account behoort. Deze informatie is handig voor probleemoplossing, vooral als u een multi-domein AD Forest beheert.
4. Aanmeldings-ID: Dit veld is een hexadecimale waarde die u kunt gebruiken om dit evenement te correleren met recente evenementen die dezelfde aanmeldings-ID kunnen hebben. Bovendien helpt dit u bij het identificeren van eventuele patronen of afwijkingen in de gebeurtenissen en het oplossen van eventuele gerelateerde problemen.
Gebeurtenis-ID 4624 “Aanmeldingsinformatie” Eigenschappen
De Aanmeldingsinformatie sectie van gebeurtenis-ID 4624 – Een account is succesvol aangemeld – heeft 4 subeigenschappen – Aanmeldingstype, Beperkte beheerdermodus, Virtueel account en Verhoogd token.
1. Aanmeldingstype: het type aanmelding dat de succesvolle aanmeldingsgebeurtenis heeft geregistreerd. De waarden variëren van 0 tot 13.
Om de betekenis van elk nummer te leren, bezoek de sectie Aanmeldingstypen en beschrijvingen van de pagina van Microsoft voor gebeurtenis 4624.
De informatie die is vastgelegd in het veld “Aanmeldingstype” van gebeurtenis-ID 4624 helpt beheerders om te bepalen hoe de aanmelding heeft plaatsgevonden.
Pro Tip: als gebeurtenis-ID 4624 een Aanmeldingstype van 10 (RemoteInteractive aanmeldingen) registreert met een netwerkbron van lusdoorverwijzing (127.0.0.0), behandelt u dit als een verdachte succesvolle aanmelding, omdat dit mogelijk duidt op een RDP tunnelings aanval.
Zie de sectie Netwerkinformatie van deze handleiding voor “bronnetwerk” informatie.
2. Beperkte beheerdersmodus: alleen ingevuld, als een gebruiker succesvol inlogt op afstand via Terminal Services of Remote Desktop (“Aanmeldingstype” 10, sessies van het aanmeldingstype RemoteInteractive).
De waarde van Beperkte beheerder modus is boolean (Ja of Nee) – waarbij wordt weergegeven of de verstrekte referenties zijn doorgegeven met behulp van Beperkte beheerdersmodus. Als het aanmeldingstype niet 10 is, is het veld Beperkte beheerdersmodus een streng “-“.
3. Virtueel account: is een Ja of Nee-veld dat aangeeft of het account dat de succesvolle aanmelding heeft geregistreerd een virtueel account is of niet. Een voorbeeld van een virtueel account is Managed Service Account (geïntroduceerd in Windows 7 en Windows Server 2008 R2).
4. Verhoogd token: ook een Ja of Nee-veld dat aangeeft of het account dat de succesvolle aanmelding heeft veroorzaakt (gebeurtenis-ID 4624) een beheerdersaccount is.
Gebeurtenis-ID 4624 “Imitatie Niveau” Eigenschappen
Het veld imitatie niveau toont hoeveel een proces in de aanmeldingssessie imiteert. De client heeft de server toestemming gegeven om namens hem op te treden als er succesvolle imitatie is.
Wanneer dit gebeurt, geven Imitatie niveaus aan in hoeverre bevoegdheid aan een server is verleend wanneer deze de identiteit van een client aanneemt. Deze niveaus worden gekenmerkt door verschillende graden van imitatie geregistreerd in gebeurtenis-ID 4624.
De verschillende niveaus van imitatie die worden geregistreerd in gebeurtenislogboek 4624 voor een succesvolle aanmelding zijn als volgt:
1. Anoniem: de server erkent dat hij de identiteit van de client niet kent. Daarom kan de server de identiteit van de client niet aannemen en imiteren.
2. Identificatie: het standaardniveau. Stel dat dit geregistreerd is als het Niveau van Impersonalisatie. In dat geval staat de client de server toe om zijn identiteit te verkrijgen en Toegangsbeheer Lijst (ACL) verificaties uit te voeren door de identiteit van de client aan te nemen.
3. Impersonalisatie: neemt de beveiligings context van de client aan in deze voornaamste vorm van impersonalisatie. De server kan echter de client niet imponeren op externe systemen.
4. Delegatie: geeft aan dat het serverproces de beveiligingscontext van de client imponeert op externe systemen.
Gebeurtenis-ID 4624 “Nieuwe Aanmelding” Eigenschappen
De Nieuwe Aanmelding velden tonen het account dat aangemeld is, dat is het account voor wie de nieuwe aanmelding is aangemaakt.
Door de computernaam te vergelijken met de Account Domain, bepaal je of het account lokaal is of domein. Als de computernaam overeenkomt met de Account Domain, is het account een lokaal account op dat systeem.
Als ze echter niet overeenkomen, is het een domeinaccount.
Het veld Nieuwe Aanmelding bestaat uit verschillende subvelden, verdeeld in 2 categorieën – Account en netwerkinformatie van de gebruiker.
“Nieuwe Aanmelding” Account Informatie Velden
1. Beveiligings-ID (SID): beveiligings-id van het account dat de “succesvol aangemeld” gebeurtenis-id 4624 heeft geregistreerd. Wanneer de Event Viewer deze gebeurtenis registreert, probeert het de SID op te lossen.
Als het echter niet in staat is de SID op te lossen naar de accountnaam, wordt de bron van de gebeurtenis weergegeven.
2. Accountnaam: voert de succesvolle aanmelding uit.
3. Account Domein: Het gebeurtenislogboek kan de volgende indelingen registreren voor de domeinnaam: NETBIOS (bijvoorbeeld infrasos), kleine letters (infrasos.com), of hoofdletters (INFRASOS.COM) indelingen.
Bovendien wordt het veld Account Domein “NT AUTHORITY” weergegeven als de aanmeldingsaccount een LOCAL SERVICE of ANONYMOUS LOGON is.
4. Aanmeldings-ID: hexadecimale waarde zoals 0x8A1E427. Belangrijk voor probleemoplossing omdat het deze gebeurtenis verbindt met andere recente gebeurtenissen die dezelfde Aanmeldings-ID hebben.
5. Gekoppelde Aanmeldings-ID: vertegenwoordigt een hexadecimale waarde die is toegewezen aan de overeenkomstige aanmeldingssessie. In gevallen waar geen andere gekoppelde aanmeldingsgebeurtenissen zijn, is de waarde van Gekoppelde Aanmeldings-ID “0x0”.
6. Aanmeldings-GUIDID: veld, stelt in staat om gebeurtenis-id 4624 te koppelen aan een andere gebeurtenis met dezelfde Aanmeldings-GUID. Door dit te doen, legt u een verband tussen 2 gebeurtenissen die misschien ongerelateerd lijken, waardoor u een uitgebreider begrip krijgt van eventuele potentiële dreiging voor uw Active Directory-omgeving.
“Nieuwe Aanmelding” Netwerkinformatievelden
7. Netwerkaccountnaam: alleen van toepassing op het “NewCredentials” aanmeldings type zoals eerder besproken. Als het aanmeldings type echter anders is dan “NewCredentials”, wordt het Netwerkaccountnaam veld geregistreerd als een “-” in de Event Viewer.
8. Netwerk Account Domein: is alleen van toepassing op het ‘NewCredentials’aanmelden type, net als het Netwerk Account Naam. Als de gebruiker een netwerkverbinding zou maken, zouden ze het domeinnaam gebruiken dat in dit veld is opgegeven.
Echter, als het aanmeldtype niet ‘NewCredentials’ is, wordt ‘–‘ opgenomen door Event Viewer in het Netwerk Account Domein veld.”
Gebeurtenis-ID 4624 “Procesinformatie” Eigenschappen
Het Procesinformatie veld van het gebeurtenislogboek biedt informatie over het proces dat de geslaagde aanmeldingsgebeurtenis heeft geregistreerd.
1. Proces-ID: een hexadecimale waarde die Windows (en andere besturingssystemen) gebruiken om een proces uniek te identificeren. Event Viewer toont de proces-ID in dit veld, als een proces succesvol in Active Directory aanmeldt en gebeurtenis-ID 4624 registreert.
Om het proces-ID van alle processen die momenteel op uw Windows-PC lopen te bekijken, open PowerShell en voer de Get-Process opdracht uit.
Converteer de hexadecimale waarde van het Process ID in gebeurtenis-ID 4624 naar decimaal. Als je dit doet, vergelijk je het proces-ID met een van de IDs die worden geretourneerd door de Get-Process PowerShell opdracht.
2. Processnaam: registreert de geslaagde aanmeldingsevent.
Gebeurtenis-ID 4624 “Netwerkinformatie” Eigenschappen
In deze sectie van de gebeurtenis vind je waardevolle informatie voor het oplossen van problemen. Bijvoorbeeld, het laat zien van welk computernaam de gebruiker heeft aangemeld. Bovendien geven de Netwerkinformatie-velden je het IP-adres van de computer en de gebruikte poort.
1. Werkstation Naam: registreert de computer naam waarvan de gebruiker de aanmelding heeft gestart. Als de aanmelding vanaf dezelfde computer is begonnen, is het gebeurtenis vastgelegd, of als het een Kerberos aanmelding is, is het Werkstation Naam veld leeg.
2. Bron Netwerk Adres: registreert het IP-adres van de computer waarvan een gebruiker is ingelogd. Als je “::1” (IPv6) of “127.0.0.1” (IPv4) in dit veld ziet, betekent dat dat de gebruiker is ingelogd vanaf dezelfde computer waar de gebeurtenislogboek is aangemaakt. Met andere woorden, ze zijn lokaal ingelogd.
3. Bron Poort: registreert de bron TCP-poort van de verre computer die gebruikt is om aan te melden.
Gebeurtenis-ID 4624 “Gedetailleerde Authenticatie Informatie” Eigenschappen
In het laatste veld ontdekken we hoe het authenticatie proces heeft plaatsgevonden. Het houdt een logboek bij van het proces dat verantwoordelijk was voor de authenticatie en de gebruikte pakketten. Bovendien toont het veld “Gedetailleerde Authenticatie-informatie” andere cruciale details zoals doorgegeven diensten, pakketnaam en sleutellengte.
1. Aanmeldingsproces: registreert de naam van het vertrouwde aanmeldingsproces dat de gebruiker gebruikte om aan te melden toen het systeem gebeurtenis-ID 4624 registreerde, wat aangeeft “Een account is succesvol aangemeld.”
2. Authenticatiepakket: noteert het type authenticatiepakket dat is gebruikt om de accountaanmelding authenticatie uit te voeren.
De meest gebruikte authenticatiepakketten zijn NTLM, Kerberos en Negotiate, die kiezen tussen de Kerberos en NTLM protocollen.
3. Doorgegeven diensten (alleen Kerberos): vermeldt doorgegeven diensten. Dit veld wordt ingevuld als de aanmelding het resultaat was van een S4U (Service For User) aanmeldingsproces.
4. Pakketnaam(alleen NTLM): als het NTLM-protocol de aanmelding verzoek authenticeerde (in plaats van Kerberos), registreert het Pakketnaamveld de versie van NTLM. Meer specifiek, het registreert de LAN Manager-versie, een subfamilie van het NTLM authenticatieprotocol.
Tot slot registreert het Pakketnaamveld NTLM V1, NTLM V2 of LM.
5. Sleutellengte: alleen van toepassing op het NTLM-authenticatieprotocol. Dus, als Kerberos de aanmelding verzoek authenticeerde dat het event ID 4624 succesvol registreerde, is het Sleutellengteveld “0”.
Echter, als de authenticatie werd uitgevoerd door het NTLM-protocol, is de sleutellengte 128 of 56 bits.
Lees ookBeste praktijken voor Active Directory-beveiliging: Bescherm uw omgeving
Conclusie over wat Event ID 4624 is: Een account werd succesvol aangemeld
Conclusief, dit artikel heeft de verschillende gebieden behandeld die verband houden met Gebeurtenis-ID 4624, die wordt gebruikt om succesvolle aanmeldingen bij Windows-gebaseerde systemen te volgen.
Het artikel beschreef de verschillende eigenschappen die aan deze gebeurtenis zijn gekoppeld, waaronder Onderwerp, Aanmeldinformatie, Impersonificatieniveau, Nieuwe aanmelding, Procesinformatie, Netwerkinformatie en Gedetailleerde authenticatie-informatie.
Het begrijpen van deze eigenschappen helpt bij bewaken van Active Directory en het detecteren van mogelijke beveiligingslekken.
Source:
https://infrasos.com/what-is-event-id-4624-an-account-was-successfully-logged-on/