4624 (S): una cuenta ha iniciado sesión correctamente.

Aplicación

  • Windows 10
  • Windows Server 2016

Event 4624 illustration

Subcategoría: auditar el inicio de sesión

Descripción del evento:

Este evento se genera cuando se crea una sesión de inicio (en el equipo de destino). Se genera en el equipo al que se tuvo acceso, donde se creó la sesión.

**** Nota para obtener recomendaciones, consulte recomendaciones de supervisión de seguridad para este evento.


XML de evento:

<?xml version="1.0"?>
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}"/>
    <EventID>4624</EventID>
    <Version>2</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8020000000000000</Keywords>
    <TimeCreated SystemTime="2015-11-12T00:24:35.079785200Z"/>
    <EventRecordID>211</EventRecordID>
    <Correlation ActivityID="{00D66690-1CDF-0000-AC66-D600DF1CD101}"/>
    <Execution ProcessID="716" ThreadID="760"/>
    <Channel>Security</Channel>
    <Computer>WIN-GG82ULGC9GO</Computer>
    <Security/>
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-5-18</Data>
    <Data Name="SubjectUserName">WIN-GG82ULGC9GO$</Data>
    <Data Name="SubjectDomainName">WORKGROUP</Data>
    <Data Name="SubjectLogonId">0x3e7</Data>
    <Data Name="TargetUserSid">S-1-5-21-1377283216-344919071-3415362939-500</Data>
    <Data Name="TargetUserName">Administrator</Data>
    <Data Name="TargetDomainName">WIN-GG82ULGC9GO</Data>
    <Data Name="TargetLogonId">0x8dcdc</Data>
    <Data Name="LogonType">2</Data>
    <Data Name="LogonProcessName">User32</Data>
    <Data Name="AuthenticationPackageName">Negotiate</Data>
    <Data Name="WorkstationName">WIN-GG82ULGC9GO</Data>
    <Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
    <Data Name="TransmittedServices">-</Data>
    <Data Name="LmPackageName">-</Data>
    <Data Name="KeyLength">0</Data>
    <Data Name="ProcessId">0x44c</Data>
    <Data Name="ProcessName">C:\\Windows\\System32\\svchost.exe</Data>
    <Data Name="IpAddress">127.0.0.1</Data>
    <Data Name="IpPort">0</Data>
    <Data Name="ImpersonationLevel">%%1833</Data>
    <Data Name="RestrictedAdminMode">-</Data>
    <Data Name="TargetOutboundUserName">-</Data>
    <Data Name="TargetOutboundDomainName">-</Data>
    <Data Name="VirtualAccount">%%1843</Data>
    <Data Name="TargetLinkedLogonId">0x0</Data>
    <Data Name="ElevatedToken">%%1842</Data>
  </EventData>
</Event>

Roles de servidor requeridos: Nada.

Versión mínima del sistema operativo: Windows Server 2008, Windows Vista.

Versiones de los eventos:

  • 0: Windows Server 2008, Windows Vista.

  • 1-Windows Server 2012, Windows 8.

    • Se ha agregado el campo "nivel de suplantación".
  • 2: Windows 10.

    • Se ha agregado la sección "información de inicio de sesión:".

    • Tipo de inicio de sesión movido a la sección "información de inicio de sesión:".

    • Se ha agregado el campo "modo de administrador restringido".

    • Se ha agregado el campo "cuenta virtual".

    • Se ha agregado el campo "token elevado".

    • Se ha agregado el campo "identificador de inicio de sesión vinculado".

    • Se ha agregado el campo "nombre de la cuenta de red".

    • Se ha agregado el campo "dominio de la cuenta de red".

Descripciones de los campos:

Asunto:

  • Identificador de seguridad \ [type = SID ]: SID de cuenta que ha notificado información sobre el inicio de sesión correcto o lo invoca. El visor de eventos intenta automáticamente resolver los SID y mostrar el nombre de la cuenta. Si el SID no se puede resolver, verá los datos de origen en el evento.

* Nota un *identificador de seguridad (SID) es un valor único de longitud variable que se usa para identificar a un administrador de confianza (entidad de seguridad). Cada cuenta tiene un SID único emitido por una autoridad, como un controlador de dominio de Active Directory, y almacenado en una base de datos de seguridad. Cada vez que un usuario inicia sesión, el sistema recupera el SID de ese usuario de la base de datos y lo coloca en el token de acceso de ese usuario. El sistema usa el SID en el token de acceso para identificar al usuario en todas las interacciones subsiguientes con la seguridad de Windows. Cuando se ha usado un SID como identificador único para un usuario o grupo, no se puede usar de nuevo para identificar otro usuario o grupo. Para obtener más información sobre los SID, vea identificadores de seguridad.

  • Nombre de la cuenta \ [type = UnicodeString ]: el nombre de la cuenta que informó de información sobre el inicio de sesión correcto.

  • Dominio de la cuenta \ [type = UnicodeString ]: dominio del asunto o nombre del equipo. Los formatos varían e incluyen los siguientes:

    • Ejemplo de nombre NETBIOS de dominio: CONTOSO

    • Nombre de dominio completo en minúsculas: contoso. local

    • Nombre de dominio completo en mayúsculas: CONTOSO. TRADUCI

    • Para algunos principales de seguridad conocidos, como el servicio local o el inicio de sesión anónimo, el valor de este campo es "NT Authority".

    • En el caso de las cuentas de usuario locales, este campo contendrá el nombre del equipo o dispositivo al que pertenece esta cuenta, por ejemplo: "Win81".

  • Identificador de inicio de sesión \ [type = HexInt64 ]: valor hexadecimal que puede ayudarle a relacionar este evento con eventos recientes que pueden contener el mismo identificador de inicio de sesión, por ejemplo, "4672(S): privilegios especiales asignados al nuevo inicio de sesión".

Información de inicio de sesión \ [versión 2 ]:

  • Tipo de inicio de sesión \ [versión 0, 1, 2 ] \ [type = UInt32 ]: el tipo de inicio de sesión que se realizó. La tabla siguiente contiene la lista de valores posibles para este campo.

Tipos de inicio de sesión y descripciones

Tipo de inicio de sesión Título de inicio de sesión Descripción
2 Interactive Un usuario ha iniciado sesión en este equipo.
3 Network Un usuario o equipo ha iniciado sesión en este equipo desde la red.
4 Batch El tipo de inicio de sesión por lotes es utilizado por los servidores de lotes, donde los procesos pueden ejecutarse en nombre de un usuario sin su intervención directa.
5 Service El administrador de control de servicios ha iniciado un servicio.
7 Unlock Esta estación de trabajo se desbloqueó.
8 NetworkCleartext Un usuario ha iniciado sesión en este equipo desde la red. La contraseña del usuario se pasó al paquete de autenticación en su forma sin hash. La autenticación integrada empaqueta todas las credenciales de hash antes de enviarlas a través de la red. Las credenciales no atraviesan la red como texto simple (también denominado CLEARTEXT).
9 NewCredentials Una persona que llama ha clonado su token actual y ha especificado nuevas credenciales para las conexiones salientes. La nueva sesión de inicio de sesión tiene la misma identidad local, pero usa credenciales diferentes para otras conexiones de red.
10 RemoteInteractive Un usuario ha iniciado sesión en este equipo de forma remota con Terminal Services o escritorio remoto.
11 CachedInteractive Un usuario ha iniciado sesión en este equipo con credenciales de red que se almacenaron de forma local en el equipo. No se ha contactado con el controlador de dominio para comprobar las credenciales.
  • Modo de administrador restringido \ [versión 2 ] \ [type = UnicodeString ]: solo se rellenó para sesiones de tipo de inicio de sesión RemoteInteractive . Esta es una marca de sí/no que indica si las credenciales proporcionadas se pasaron con el modo de administrador restringido. El modo de administrador restringido se agregó en Windows 8.1/2012R2, pero este marcador se agregó al evento en Win10.

    Referencia: http://blogs.technet.com/b/kfalde/archive/2013/08/14/restricted-admin-mode-for-rdp-in-windows-8-1-2012-r2.aspx.

    Si no es un inicio de sesión de RemoteInteractive , será la cadena "-".

  • Cuenta virtual \ [versión 2 ] \ [type = UnicodeString ]: una marca "sí" o "no", que indica si la cuenta es una cuenta virtual (por ejemplo, "cuenta de servicio administrada"), que se presentó en Windows 7 y Windows Server 2008 R2 para proporcionar la capacidad de identificar la cuenta que usa un servicio determinado, en lugar de usar solo "NetworkService".

  • Token elevado \ [versión 2 ] \ [type = UnicodeString ]: una marca "Yes" o "no". Si el valor es "sí", la sesión representa este evento es elevada y tiene privilegios de administrador.

Nivel de suplantación \ [versión 1, 2 ] \ [type = UnicodeString ]: puede tener uno de estos cuatro valores:

  • SecurityAnonymous (se muestra como cadena vacía): el proceso del servidor no puede obtener información de identificación sobre el cliente y no puede suplantar al cliente. Se define sin ningún valor dado y, por lo tanto, con las reglas ANSI C, se muestra de forma predeterminada el valor cero.

  • SecurityIdentification (se muestra como "identificación"): el proceso de servidor puede obtener información sobre el cliente, como los identificadores y privilegios de seguridad, pero no puede suplantar al cliente. Esto es útil para los servidores que exportan sus propios objetos, por ejemplo, productos de base de datos que exportan tablas y vistas. Con la información de seguridad del cliente recuperada, el servidor puede tomar decisiones de validación de acceso sin poder usar otros servicios que estén usando el contexto de seguridad del cliente.

  • SecurityImpersonation (se muestra como "suplantación"): el proceso de servidor puede suplantar el contexto de seguridad del cliente en su sistema local. El servidor no puede suplantar al cliente en sistemas remotos. Este es el tipo más común.

  • SecurityDelegation (se muestra como "delegación"): el proceso de servidor puede suplantar el contexto de seguridad del cliente en sistemas remotos.

Nuevo inicio de sesión:

  • Identificador de seguridad \ [type = SID ]: SID de cuenta para la cual se realizó la conexión. El visor de eventos intenta automáticamente resolver los SID y mostrar el nombre de la cuenta. Si el SID no se puede resolver, verá los datos de origen en el evento.

* Nota un *identificador de seguridad (SID) es un valor único de longitud variable que se usa para identificar a un administrador de confianza (entidad de seguridad). Cada cuenta tiene un SID único emitido por una autoridad, como un controlador de dominio de Active Directory, y almacenado en una base de datos de seguridad. Cada vez que un usuario inicia sesión, el sistema recupera el SID de ese usuario de la base de datos y lo coloca en el token de acceso de ese usuario. El sistema usa el SID en el token de acceso para identificar al usuario en todas las interacciones subsiguientes con la seguridad de Windows. Cuando se ha usado un SID como identificador único para un usuario o grupo, no se puede usar de nuevo para identificar otro usuario o grupo. Para obtener más información sobre los SID, vea identificadores de seguridad.

  • Nombre de cuenta \ [type = UnicodeString ]: el nombre de la cuenta para la que se realizó la conexión.

  • Dominio de la cuenta \ [type = UnicodeString ]: dominio del asunto o nombre del equipo. Los formatos varían e incluyen los siguientes:

    • Ejemplo de nombre NETBIOS de dominio: CONTOSO

    • Nombre de dominio completo en minúsculas: contoso. local

    • Nombre de dominio completo en mayúsculas: CONTOSO. TRADUCI

    • Para algunos principales de seguridad conocidos, como el servicio local o el inicio de sesión anónimo, el valor de este campo es "NT Authority".

    • En el caso de las cuentas de usuario locales, este campo contendrá el nombre del equipo o dispositivo al que pertenece esta cuenta, por ejemplo: "Win81".

  • Identificador de inicio de sesión \ [type = HexInt64 ]: valor hexadecimal que puede ayudarle a relacionar este evento con eventos recientes que pueden contener el mismo identificador de inicio de sesión, por ejemplo, "4672(S): privilegios especiales asignados al nuevo inicio de sesión".

  • Identificador de inicio de sesión vinculado \ [versión 2 ] \ [type = HexInt64 ]: un valor hexadecimal de la sesión emparejada de inicio de sesión. Si no hay otra sesión de inicio asociada a este inicio de sesión, el valor es "0X0".

  • Nombre de la cuenta de red \ [versión 2 ] \ [type = UnicodeString ]: nombre de usuario que se usará para conexiones de salida (red). Solo es válido para el tipo de inicio de sesión NewCredentials .

    Si no NewCredentials el inicio de sesión, será una cadena "-".

  • Dominio de la cuenta de red \ [versión 2 ] \ [type = UnicodeString ]: domain para el usuario que se usará para conexiones de salida (red). Solo es válido para el tipo de inicio de sesión NewCredentials .

    Si no NewCredentials el inicio de sesión, será una cadena "-".

  • GUID de inicio de sesión \ [type = GUID ]: un GUID que puede ayudarle a correlacionar este evento con otro evento que puede contener el mismo GUID de inicio de sesión, "4769(S, F): se solicitó un vale de servicio Kerberos en un controlador de dominio.

    También puede usarse para la correlación entre un evento de 4624 y otros eventos (en el mismo equipo) que pueden contener el mismo GUID de inicio de sesión, "4648(s): se intentó iniciar sesión con las credenciales explícitas" y "4964: los grupos especiales tienen se ha asignado a un nuevo inicio de sesión.

    Este parámetro no se puede capturar en el evento y, en ese caso, aparece como{00000000-0000-0000-0000-000000000000}"".

* Nota *GUID es un acrónimo de ' Globally Unique Identifier '. Es un número entero de 128 bits que se usa para identificar recursos, actividades o instancias.

Información del proceso:

  • Proceso ID \ [type = Pointer ]: identificador de proceso hexadecimal del proceso que intentó iniciar sesión. IDENTIFICADOR de proceso (PID) es un número usado por el sistema operativo para identificar de forma única un proceso activo. Para ver el PID de un proceso específico, puede, por ejemplo, usar el administrador de tareas (pestaña detalles, columna PID):

    Task manager illustration

    Si convierte el valor hexadecimal a decimal, puede compararlo con los valores del administrador de tareas.

    También puede correlacionar este identificador de proceso con un identificador de proceso en otros eventos, por ejemplo, "4688: se ha creado un nuevo proceso" identificador de proceso de Information\New de proceso.

  • Nombre de proceso \ [type = UnicodeString ]: ruta de acceso completa y el nombre del archivo ejecutable para el proceso.

Información de red:

  • Nombre de la estación de trabajo \ [type = UnicodeString ]: nombre del equipo desde el que se realizó el intento de inicio de sesión.

  • Dirección de red de origen \ [type = UnicodeString ]: dirección IP del equipo desde el que se realizó el intento de inicio de sesión.

    • Dirección IPv6 o:: ffff: dirección IPv4 de un cliente.

    • :: 1 o 127.0.0.1 significa localhost.

  • Puerto de origen \ [type = UnicodeString ]: Puerto de origen usado para el intento de inicio de sesión en el equipo remoto.

    • 0 para inicios de sesión interactivos.

Información de autenticación detallada:

  • Proceso de inicio de sesión \ [type = UnicodeString ]: el nombre del proceso de inicio de sesión de confianza que se usó para el inicio de sesión. Consulte evento "4611: se ha registrado un proceso de inicio de sesión de confianza en la descripción de la autoridad de seguridad local para obtener más información.

  • Paquete de autenticación \ [type = UnicodeString ]: el nombre del paquete de autenticación que se usó para el proceso de autenticación de inicio de sesión. Los paquetes predeterminados cargados en el inicio de LSA se encuentran en la clave del registro "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig". Otros paquetes se pueden cargar en tiempo de ejecución. Cuando se carga un paquete nuevo, "4610: la autoridad de seguridad local ha cargado un paquete de autenticación" (normalmente para NTLM) o "4622: el evento" autoridad de seguridad local "(normalmente para Kerberos) se ha cargado en registrado para indicar que se ha cargado un paquete nuevo junto con el nombre del paquete. Los paquetes de autenticación más comunes son los siguientes:

    • NTLM : autenticación de la familia NTLM

    • Kerberos : autenticación Kerberos.

    • Negotiate : el paquete de seguridad de negociación selecciona entre los protocolos Kerberos y NTLM. La función Negotiate selecciona Kerberos, a menos que uno de los sistemas implicados en la autenticación o la aplicación que realiza la llamada no la use, no proporcionó suficiente información para usar Kerberos.

  • Servicios en tránsito \ [type = UnicodeString ] \ [Kerberos-Only ]: la lista de servicios transmitidos. Los servicios transmitidos se rellenan si el inicio de sesión fue resultado de un proceso de inicio de sesión S4U (servicio para el usuario). S4U es una extensión de Microsoft para el protocolo Kerberos que permite a un servicio de la aplicación obtener un vale de servicio Kerberos en nombre de un usuario, generalmente realizado por un sitio web Front-end para acceder a un recurso interno en nombre de un usuario. Para obtener más información sobre S4U, consulte https://msdn.microsoft.com/library/cc246072.aspx

  • Nombre del paquete (solo NTLM) \ [type = UnicodeString ]: el nombre del subpaquete de LAN Manager (nombre de protocolode la familia NTLM ) que se usó durante el inicio de sesión. Los valores posibles son:

    • "NTLM V1"

    • "NTLM V2"

    • Manager

      Solo se rellena si "paquete de autenticación" = "NTLM".

  • Longitud de la clave \ [type = UInt32 ]: la longitud de la clave de seguridad de la sesión NTLM . Normalmente tiene una longitud de 128 bits o 56 bits. Este parámetro siempre es 0 si "paquete de autenticación" = "Kerberos", porque no es aplicable al protocolo Kerberos. Este campo también tendrá el valor "0" Si Kerberos se negoció con el paquete de autenticación Negotiate .

Recomendaciones de supervisión de seguridad

Para 4624 (S): una cuenta ha iniciado sesión correctamente.

Tipo de supervisión necesaria Recomendación
Cuentas de alto valor: es posible que tenga cuentas locales o de dominio de valor alto para las cuales necesita supervisar cada acción.
Ejemplos de cuentas de valor alto son los administradores de bases de datos, la cuenta de administrador local integrada, los administradores de dominio, las cuentas de servicio, las cuentas de controlador de dominio y así sucesivamente.
Supervisa este evento con el "nuevo identificador de Logon\Security" que corresponde a la cuenta o cuentas de alto valor.
Anomalías o acciones malintencionadas: es posible que tenga requisitos específicos para detectar anomalías o supervisar posibles acciones malintencionadas. Por ejemplo, es posible que necesite supervisar el uso de una cuenta fuera del horario laboral. Cuando supervise las anomalías o las acciones malintencionadas, use el "nuevo identificador de Logon\Security" (con otra información) para supervisar cómo o Cuándo se usa una cuenta en particular.
Cuentas no activas: es posible que tenga cuentas no activas, deshabilitadas o de invitado, u otras cuentas que nunca deberían usarse. Supervisa este evento con el "nuevo identificador de Logon\Security" que corresponde a las cuentas que nunca deberían usarse.
Lista blanca de cuenta: es posible que tenga una lista blanca específica de cuentas que sean las únicas a las que se permite realizar acciones correspondientes a eventos concretos. Si este evento corresponde a una acción "solo lista blanca", revise el "nuevo ID Logon\Security" para cuentas que se encuentren fuera de la lista blanca.
Cuentas de diferentes tipos: es posible que desee asegurarse de que determinadas acciones solo se realizan mediante determinados tipos de cuenta, por ejemplo, una cuenta local o de dominio, una cuenta de equipo o de usuario, proveedor o empleado, etc. Si este evento corresponde a una acción que desea supervisar para determinados tipos de cuenta, revise la "nueva LOGON\SECURITY ID" para ver si el tipo de cuenta es el esperado.
Cuentas externas: es posible que esté supervisando las cuentas de otro dominio o cuentas "externas" que no tienen permitido realizar determinadas acciones (representadas por determinados eventos específicos). Supervise este evento para el "dominio Subject\Account" correspondiente a las cuentas de otro dominio o a cuentas "externas".
Uso restringido de equipos o dispositivos: es posible que tenga ciertos equipos, equipos o dispositivos en los que determinadas personas (cuentas) no deberían realizar ninguna acción por lo general. Supervise el equipo de destino : (u otro dispositivo de destino) para las acciones realizadas por el "nuevo ID Logon\Security" que le interesa.
Convenciones de nomenclatura para cuentas: es posible que su organización tenga convenciones de nomenclatura específicas para los nombres de cuenta. Monitor "nombre de Subject\Account" para los nombres que no cumplen con las convenciones de nomenclatura.
  • Como la cuenta del sistema suele desencadenar este evento, le recomendamos que lo informe cada vez que "SUBJECT\SECURITY ID" no sea el sistema.

  • Si se debe usar el modo "Administrador restringido" para los inicios de sesión en ciertas cuentas, use este evento para supervisar los inicios de sesión en "nuevo identificador de Logon\Security" en relación con "tipo de inicio de sesión" = 10 y "modo deAdministrador restringido" = "sí". Si el "modo de administrador restringido" = "no" para estas cuentas, active una alerta.

  • Si necesita supervisar todos los eventos de inicio de sesión de cuentas con privilegios de administrador, supervise este evento con "token elevado" = "sí".

  • Si necesita supervisar todos los eventos de inicio de sesión para las cuentas de servicio administradas y las cuentas de servicio administradas de grupo, supervise los eventos con "cuenta virtual" = "sí".

  • Para supervisar la falta de coincidencia entre el tipo de inicio de sesión y la cuenta que lo usa (por ejemplo, si un miembro de un grupo administrativo de dominio usa un tipo de inicio de sesión 4-batch o 5-Service), supervise el tipo de inicio de sesión en este evento.

  • Si su organización restringe los inicios de sesión de las siguientes maneras, puede usar este evento para supervisar según corresponda:

    • Si la cuenta de usuario "New LOGON\SECURITY ID" nunca se debe usar para iniciar sesión desde el equipo específico:.

    • Si las nuevas credenciales de identificador de Logon\Security no se deben usar desde el nombre de estación de trabajo o la dirección de red de origen.

    • Si una cuenta específica, como una cuenta de servicio, solo se debe usar desde la lista de direcciones IP interna (o alguna otra lista de direcciones IP). En este caso, puede supervisar la dirección de red de Information\Source y comparar la dirección de red con la lista de direcciones IP.

    • Si una versión determinada de NTLM siempre se usa en su organización. En este caso, puede usar este evento para supervisar el nombre del paquete (solo NTLM), por ejemplo, para buscar eventos donde el nombre del paquete (solo NTLM) no es igual a NTLM v2.

    • Si NTLM no se usa en su organización o no debe usarse en una cuenta específica (nuevo identificador de Logon\Security). En este caso, supervise todos los eventos en los que el paquete de autenticación es NTLM.

    • Si el paquete de autenticación es NTLM. En este caso, monitor de longitud de clave no es igual a 128, ya que todos los sistemas operativos de Windows que comienzan con Windows 2000 son 128 compatibles con la longitud de clave de bits.

  • Si supervisa software posiblemente malintencionado, o software que no tiene autorización para solicitar acciones de inicio de sesión, supervise este evento para el nombre de proceso.

  • Si tiene una lista de procesos de inicio de sesión de confianza, supervise si hay un proceso de inicio de sesión que no esté en la lista.