4624 (S): una cuenta ha iniciado sesión correctamente.4624(S): An account was successfully logged on.

Se aplica aApplies to

  • Windows 10Windows 10
  • WindowsServer2016Windows Server 2016
Event 4624 illustration

Subcategoría:   Auditar inicio de sesiónSubcategory: Audit Logon

Descripción del evento:Event Description:

Este evento se genera cuando se crea una sesión de inicio (en el equipo de destino).This event generates when a logon session is created (on destination machine). Se genera en el equipo al que se tuvo acceso, donde se creó la sesión.It generates on the computer that was accessed, where the session was created.

Nota:     Para obtener recomendaciones, consulte recomendaciones de supervisión de seguridad para este evento.Note  For recommendations, see Security Monitoring Recommendations for this event.


XML de evento:Event XML:

<?xml version="1.0"?>
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}"/>
    <EventID>4624</EventID>
    <Version>2</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8020000000000000</Keywords>
    <TimeCreated SystemTime="2015-11-12T00:24:35.079785200Z"/>
    <EventRecordID>211</EventRecordID>
    <Correlation ActivityID="{00D66690-1CDF-0000-AC66-D600DF1CD101}"/>
    <Execution ProcessID="716" ThreadID="760"/>
    <Channel>Security</Channel>
    <Computer>WIN-GG82ULGC9GO</Computer>
    <Security/>
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-5-18</Data>
    <Data Name="SubjectUserName">WIN-GG82ULGC9GO$</Data>
    <Data Name="SubjectDomainName">WORKGROUP</Data>
    <Data Name="SubjectLogonId">0x3e7</Data>
    <Data Name="TargetUserSid">S-1-5-21-1377283216-344919071-3415362939-500</Data>
    <Data Name="TargetUserName">Administrator</Data>
    <Data Name="TargetDomainName">WIN-GG82ULGC9GO</Data>
    <Data Name="TargetLogonId">0x8dcdc</Data>
    <Data Name="LogonType">2</Data>
    <Data Name="LogonProcessName">User32</Data>
    <Data Name="AuthenticationPackageName">Negotiate</Data>
    <Data Name="WorkstationName">WIN-GG82ULGC9GO</Data>
    <Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
    <Data Name="TransmittedServices">-</Data>
    <Data Name="LmPackageName">-</Data>
    <Data Name="KeyLength">0</Data>
    <Data Name="ProcessId">0x44c</Data>
    <Data Name="ProcessName">C:\\Windows\\System32\\svchost.exe</Data>
    <Data Name="IpAddress">127.0.0.1</Data>
    <Data Name="IpPort">0</Data>
    <Data Name="ImpersonationLevel">%%1833</Data>
    <Data Name="RestrictedAdminMode">-</Data>
    <Data Name="TargetOutboundUserName">-</Data>
    <Data Name="TargetOutboundDomainName">-</Data>
    <Data Name="VirtualAccount">%%1843</Data>
    <Data Name="TargetLinkedLogonId">0x0</Data>
    <Data Name="ElevatedToken">%%1842</Data>
  </EventData>
</Event>

Roles de servidor requeridos: Nada.Required Server Roles: None.

Versión mínima del sistema operativo: Windows Server 2008, Windows Vista.Minimum OS Version: Windows Server 2008, Windows Vista.

Versiones de los eventos:Event Versions:

  • 0: Windows Server 2008, Windows Vista.0 - Windows Server 2008, Windows Vista.

  • 1-Windows Server 2012, Windows 8.1 - Windows Server 2012, Windows 8.

    • Se ha agregado el campo "nivel de suplantación".Added “Impersonation Level” field.
  • 2: Windows 10.2 – Windows 10.

    • Se ha agregado la sección "información de inicio de sesión:".Added “Logon Information:” section.

    • Tipo de inicio de sesión movido a la sección "información de inicio de sesión:".Logon Type moved to “Logon Information:” section.

    • Se ha agregado el campo "modo de administrador restringido".Added “Restricted Admin Mode” field.

    • Se ha agregado el campo "cuenta virtual".Added “Virtual Account” field.

    • Se ha agregado el campo "token elevado".Added “Elevated Token” field.

    • Se ha agregado el campo "identificador de inicio de sesión vinculado".Added “Linked Logon ID” field.

    • Se ha agregado el campo "nombre de la cuenta de red".Added “Network Account Name” field.

    • Se ha agregado el campo "dominio de la cuenta de red".Added “Network Account Domain” field.

Descripciones de los campos:Field Descriptions:

Asunto:Subject:

  • Identificador de seguridad \ [type = SID ]: SID de cuenta que ha notificado información sobre el inicio de sesión correcto o lo invoca.Security ID [Type = SID]: SID of account that reported information about successful logon or invokes it. El visor de eventos intenta automáticamente resolver los SID y mostrar el nombre de la cuenta.Event Viewer automatically tries to resolve SIDs and show the account name. Si el SID no se puede resolver, verá los datos de origen en el evento.If the SID cannot be resolved, you will see the source data in the event.

Nota:     Un identificador de seguridad (SID) es un valor único de longitud variable que se usa para identificar a un administrador de confianza (principal de seguridad).Note  A security identifier (SID) is a unique value of variable length used to identify a trustee (security principal). Cada cuenta tiene un SID único emitido por una autoridad, como un controlador de dominio de Active Directory, y almacenado en una base de datos de seguridad.Each account has a unique SID that is issued by an authority, such as an Active Directory domain controller, and stored in a security database. Cada vez que un usuario inicia sesión, el sistema recupera el SID de ese usuario de la base de datos y lo coloca en el token de acceso de ese usuario.Each time a user logs on, the system retrieves the SID for that user from the database and places it in the access token for that user. El sistema usa el SID en el token de acceso para identificar al usuario en todas las interacciones subsiguientes con la seguridad de Windows.The system uses the SID in the access token to identify the user in all subsequent interactions with Windows security. Cuando se ha usado un SID como identificador único para un usuario o grupo, no se puede usar de nuevo para identificar otro usuario o grupo.When a SID has been used as the unique identifier for a user or group, it cannot ever be used again to identify another user or group. Para obtener más información sobre los SID, vea identificadores de seguridad.For more information about SIDs, see Security identifiers.

  • Nombre de la cuenta \ [type = UnicodeString ]: el nombre de la cuenta que informó de información sobre el inicio de sesión correcto.Account Name [Type = UnicodeString]: the name of the account that reported information about successful logon.

  • Dominio de la cuenta \ [type = UnicodeString ]: dominio del asunto o nombre del equipo.Account Domain [Type = UnicodeString]: subject’s domain or computer name. Los formatos varían e incluyen los siguientes:Formats vary, and include the following:

    • Ejemplo de nombre NETBIOS de dominio: CONTOSODomain NETBIOS name example: CONTOSO

    • Nombre de dominio completo en minúsculas: contoso. localLowercase full domain name: contoso.local

    • Nombre de dominio completo en mayúsculas: CONTOSO. TRADUCIUppercase full domain name: CONTOSO.LOCAL

    • Para algunos principales de seguridad conocidos, como el servicio local o el inicio de sesión anónimo, el valor de este campo es "NT Authority".For some well-known security principals, such as LOCAL SERVICE or ANONYMOUS LOGON, the value of this field is “NT AUTHORITY”.

    • En el caso de las cuentas de usuario locales, este campo contendrá el nombre del equipo o dispositivo al que pertenece esta cuenta, por ejemplo: "Win81".For local user accounts, this field will contain the name of the computer or device that this account belongs to, for example: “Win81”.

  • Identificador de inicio de sesión \ [type = HexInt64 ]: valor hexadecimal que puede ayudarle a relacionar este evento con eventos recientes que pueden contener el mismo identificador de inicio de sesión, por ejemplo, "4672(S): privilegios especiales asignados al nuevo inicio de sesión".Logon ID [Type = HexInt64]: hexadecimal value that can help you correlate this event with recent events that might contain the same Logon ID, for example, “4672(S): Special privileges assigned to new logon.”

Información de inicio de sesión \ [versión 2 ]:Logon Information [Version 2]:

  • Tipo de inicio de sesión \ [versión 0, 1, 2 ] \ [type = UInt32 ]: el tipo de inicio de sesión que se realizó.Logon Type [Version 0, 1, 2] [Type = UInt32]: the type of logon which was performed. La tabla siguiente contiene la lista de valores posibles para este campo.The table below contains the list of possible values for this field.

Tipos de inicio de sesión y descripcionesLogon types and descriptions

Tipo de inicio de sesiónLogon Type Título de inicio de sesiónLogon Title DescripciónDescription
2 Interactive Un usuario ha iniciado sesión en este equipo.A user logged on to this computer.
3 Network Un usuario o equipo ha iniciado sesión en este equipo desde la red.A user or computer logged on to this computer from the network.
4 Batch El tipo de inicio de sesión por lotes es utilizado por los servidores de lotes, donde los procesos pueden ejecutarse en nombre de un usuario sin su intervención directa.Batch logon type is used by batch servers, where processes may be executing on behalf of a user without their direct intervention.
5 Service El administrador de control de servicios ha iniciado un servicio.A service was started by the Service Control Manager.
7 Unlock Esta estación de trabajo se desbloqueó.This workstation was unlocked.
8 NetworkCleartext Un usuario ha iniciado sesión en este equipo desde la red.A user logged on to this computer from the network. La contraseña del usuario se pasó al paquete de autenticación en su forma sin hash.The user's password was passed to the authentication package in its unhashed form. La autenticación integrada empaqueta todas las credenciales de hash antes de enviarlas a través de la red.The built-in authentication packages all hash credentials before sending them across the network. Las credenciales no atraviesan la red como texto simple (también denominado CLEARTEXT).The credentials do not traverse the network in plaintext (also called cleartext).
9 NewCredentials Una persona que llama ha clonado su token actual y ha especificado nuevas credenciales para las conexiones salientes.A caller cloned its current token and specified new credentials for outbound connections. La nueva sesión de inicio de sesión tiene la misma identidad local, pero usa credenciales diferentes para otras conexiones de red.The new logon session has the same local identity, but uses different credentials for other network connections.
10 RemoteInteractive Un usuario ha iniciado sesión en este equipo de forma remota con Terminal Services o escritorio remoto.A user logged on to this computer remotely using Terminal Services or Remote Desktop.
11 CachedInteractive Un usuario ha iniciado sesión en este equipo con credenciales de red que se almacenaron de forma local en el equipo.A user logged on to this computer with network credentials that were stored locally on the computer. No se ha contactado con el controlador de dominio para comprobar las credenciales.The domain controller was not contacted to verify the credentials.
  • Modo de administrador restringido \ [versión 2 ] \ [type = UnicodeString ]: solo se rellenó para sesiones de tipo de inicio de sesión RemoteInteractive .Restricted Admin Mode [Version 2] [Type = UnicodeString]: Only populated for RemoteInteractive logon type sessions. Esta es una marca de sí/no que indica si las credenciales proporcionadas se pasaron con el modo de administrador restringido.This is a Yes/No flag indicating if the credentials provided were passed using Restricted Admin mode. El modo de administrador restringido se agregó en Windows 8.1/2012R2, pero este marcador se agregó al evento en Win10.Restricted Admin mode was added in Win8.1/2012R2 but this flag was added to the event in Win10.

    Referencia: https://blogs.technet.com/b/kfalde/archive/2013/08/14/restricted-admin-mode-for-rdp-in-windows-8-1-2012-r2.aspx .Reference: https://blogs.technet.com/b/kfalde/archive/2013/08/14/restricted-admin-mode-for-rdp-in-windows-8-1-2012-r2.aspx.

    Si no es un inicio de sesión de RemoteInteractive , será la cadena "-".If not a RemoteInteractive logon, then this will be "-" string.

  • Cuenta virtual \ [versión 2 ] \ [type = UnicodeString ]: una marca "sí" o "no", que indica si la cuenta es una cuenta virtual (por ejemplo, "cuenta de servicio administrada"), que se presentó en Windows 7 y Windows Server 2008 R2 para proporcionar la capacidad de identificar la cuenta que un servicio determinado usa, en lugar de usar solo "NetworkService".Virtual Account [Version 2] [Type = UnicodeString]: a “Yes” or “No” flag, which indicates if the account is a virtual account (e.g., "Managed Service Account"), which was introduced in Windows 7 and Windows Server 2008 R2 to provide the ability to identify the account that a given Service uses, instead of just using "NetworkService".

  • Token elevado \ [versión 2 ] \ [type = UnicodeString ]: una marca "Yes" o "no".Elevated Token [Version 2] [Type = UnicodeString]: a “Yes” or “No” flag. Si el valor es "sí", la sesión representa este evento es elevada y tiene privilegios de administrador.If “Yes” then the session this event represents is elevated and has administrator privileges.

Nivel de suplantación \ [versión 1, 2 ] \ [type = UnicodeString ]: puede tener uno de estos cuatro valores:Impersonation Level [Version 1, 2] [Type = UnicodeString]: can have one of these four values:

  • SecurityAnonymous (se muestra como cadena vacía): el proceso del servidor no puede obtener información de identificación sobre el cliente y no puede suplantar al cliente.SecurityAnonymous (displayed as empty string): The server process cannot obtain identification information about the client, and it cannot impersonate the client. Se define sin ningún valor dado y, por lo tanto, con las reglas ANSI C, se muestra de forma predeterminada el valor cero.It is defined with no value given, and thus, by ANSI C rules, defaults to a value of zero.

  • SecurityIdentification (se muestra como "identificación"): el proceso de servidor puede obtener información sobre el cliente, como los identificadores y privilegios de seguridad, pero no puede suplantar al cliente.SecurityIdentification (displayed as "Identification"): The server process can obtain information about the client, such as security identifiers and privileges, but it cannot impersonate the client. Esto es útil para los servidores que exportan sus propios objetos, por ejemplo, productos de base de datos que exportan tablas y vistas.This is useful for servers that export their own objects, for example, database products that export tables and views. Con la información de seguridad del cliente recuperada, el servidor puede tomar decisiones de validación de acceso sin poder usar otros servicios que estén usando el contexto de seguridad del cliente.Using the retrieved client-security information, the server can make access-validation decisions without being able to use other services that are using the client's security context.

  • SecurityImpersonation (se muestra como "suplantación"): el proceso de servidor puede suplantar el contexto de seguridad del cliente en su sistema local.SecurityImpersonation (displayed as "Impersonation"): The server process can impersonate the client's security context on its local system. El servidor no puede suplantar al cliente en sistemas remotos.The server cannot impersonate the client on remote systems. Este es el tipo más común.This is the most common type.

  • SecurityDelegation (se muestra como "delegación"): el proceso de servidor puede suplantar el contexto de seguridad del cliente en sistemas remotos.SecurityDelegation (displayed as "Delegation"): The server process can impersonate the client's security context on remote systems.

Nuevo inicio de sesión:New Logon:

  • Identificador de seguridad \ [type = SID ]: SID de cuenta para la cual se realizó la conexión.Security ID [Type = SID]: SID of account for which logon was performed. El visor de eventos intenta automáticamente resolver los SID y mostrar el nombre de la cuenta.Event Viewer automatically tries to resolve SIDs and show the account name. Si el SID no se puede resolver, verá los datos de origen en el evento.If the SID cannot be resolved, you will see the source data in the event.

Nota:     Un identificador de seguridad (SID) es un valor único de longitud variable que se usa para identificar a un administrador de confianza (principal de seguridad).Note  A security identifier (SID) is a unique value of variable length used to identify a trustee (security principal). Cada cuenta tiene un SID único emitido por una autoridad, como un controlador de dominio de Active Directory, y almacenado en una base de datos de seguridad.Each account has a unique SID that is issued by an authority, such as an Active Directory domain controller, and stored in a security database. Cada vez que un usuario inicia sesión, el sistema recupera el SID de ese usuario de la base de datos y lo coloca en el token de acceso de ese usuario.Each time a user logs on, the system retrieves the SID for that user from the database and places it in the access token for that user. El sistema usa el SID en el token de acceso para identificar al usuario en todas las interacciones subsiguientes con la seguridad de Windows.The system uses the SID in the access token to identify the user in all subsequent interactions with Windows security. Cuando se ha usado un SID como identificador único para un usuario o grupo, no se puede usar de nuevo para identificar otro usuario o grupo.When a SID has been used as the unique identifier for a user or group, it cannot ever be used again to identify another user or group. Para obtener más información sobre los SID, vea identificadores de seguridad.For more information about SIDs, see Security identifiers.

  • Nombre de cuenta \ [type = UnicodeString ]: el nombre de la cuenta para la que se realizó la conexión.Account Name [Type = UnicodeString]: the name of the account for which logon was performed.

  • Dominio de la cuenta \ [type = UnicodeString ]: dominio del asunto o nombre del equipo.Account Domain [Type = UnicodeString]: subject’s domain or computer name. Los formatos varían e incluyen los siguientes:Formats vary, and include the following:

    • Ejemplo de nombre NETBIOS de dominio: CONTOSODomain NETBIOS name example: CONTOSO

    • Nombre de dominio completo en minúsculas: contoso. localLowercase full domain name: contoso.local

    • Nombre de dominio completo en mayúsculas: CONTOSO. TRADUCIUppercase full domain name: CONTOSO.LOCAL

    • Para algunos principales de seguridad conocidos, como el servicio local o el inicio de sesión anónimo, el valor de este campo es "NT Authority".For some well-known security principals, such as LOCAL SERVICE or ANONYMOUS LOGON, the value of this field is “NT AUTHORITY”.

    • En el caso de las cuentas de usuario locales, este campo contendrá el nombre del equipo o dispositivo al que pertenece esta cuenta, por ejemplo: "Win81".For local user accounts, this field will contain the name of the computer or device that this account belongs to, for example: “Win81”.

  • Identificador de inicio de sesión \ [type = HexInt64 ]: valor hexadecimal que puede ayudarle a relacionar este evento con eventos recientes que pueden contener el mismo identificador de inicio de sesión, por ejemplo, "4672(S): privilegios especiales asignados al nuevo inicio de sesión".Logon ID [Type = HexInt64]: hexadecimal value that can help you correlate this event with recent events that might contain the same Logon ID, for example, “4672(S): Special privileges assigned to new logon.”

  • Identificador de inicio de sesión vinculado \ [versión 2 ] \ [type = HexInt64 ]: un valor hexadecimal de la sesión emparejada de inicio de sesión.Linked Logon ID [Version 2] [Type = HexInt64]: A hexadecimal value of the paired logon session. Si no hay otra sesión de inicio asociada a este inicio de sesión, el valor es "0X0".If there is no other logon session associated with this logon session, then the value is “0x0”.

  • Nombre de la cuenta de red \ [versión 2 ] \ [type = UnicodeString ]: nombre de usuario que se usará para conexiones de salida (red).Network Account Name [Version 2] [Type = UnicodeString]: User name that will be used for outbound (network) connections. Solo es válido para el tipo de inicio de sesión NewCredentials .Valid only for NewCredentials logon type.

    Si no NewCredentials el inicio de sesión, será una cadena "-".If not NewCredentials logon, then this will be a "-" string.

  • Dominio de la cuenta de red \ [versión 2 ] \ [type = UnicodeString ]: domain para el usuario que se usará para conexiones de salida (red).Network Account Domain [Version 2] [Type = UnicodeString]: Domain for the user that will be used for outbound (network) connections. Solo es válido para el tipo de inicio de sesión NewCredentials .Valid only for NewCredentials logon type.

    Si no NewCredentials el inicio de sesión, será una cadena "-".If not NewCredentials logon, then this will be a "-" string.

  • GUID de inicio de sesión \ [type = GUID ]: un GUID que puede ayudarle a correlacionar este evento con otro evento que puede contener el mismo GUID de inicio de sesión, "4769(S, F): se solicitó un vale de servicio Kerberos en un controlador de dominio.Logon GUID [Type = GUID]: a GUID that can help you correlate this event with another event that can contain the same Logon GUID, “4769(S, F): A Kerberos service ticket was requested event on a domain controller.

    También puede usarse para la correlación entre un evento de 4624 y otros eventos (en el mismo equipo) que pueden contener el mismo GUID de inicio de sesión, "4648(s): se intentó iniciar sesión con las credenciales explícitas" y "4964: se asignaron grupos especiales a un nuevo inicio de sesión".It also can be used for correlation between a 4624 event and several other events (on the same computer) that can contain the same Logon GUID, “4648(S): A logon was attempted using explicit credentials” and “4964(S): Special groups have been assigned to a new logon.”

    Este parámetro no se puede capturar en el evento y, en ese caso, aparece como " {00000000-0000-0000-0000-000000000000} ".This parameter might not be captured in the event, and in that case appears as “{00000000-0000-0000-0000-000000000000}”.

Nota:     GUID es un acrónimo de ' Globally Unique Identifier '.Note  GUID is an acronym for 'Globally Unique Identifier'. Es un número entero de 128 bits que se usa para identificar recursos, actividades o instancias.It is a 128-bit integer number used to identify resources, activities or instances.

Información del proceso:Process Information:

  • Proceso ID \ [type = Pointer ]: identificador de proceso hexadecimal del proceso que intentó iniciar sesión.Process ID [Type = Pointer]: hexadecimal Process ID of the process that attempted the logon. IDENTIFICADOR de proceso (PID) es un número usado por el sistema operativo para identificar de forma única un proceso activo.Process ID (PID) is a number used by the operating system to uniquely identify an active process. Para ver el PID de un proceso específico, puede, por ejemplo, usar el administrador de tareas (pestaña detalles, columna PID):To see the PID for a specific process you can, for example, use Task Manager (Details tab, PID column):

    Task manager illustration

    Si convierte el valor hexadecimal a decimal, puede compararlo con los valores del administrador de tareas.If you convert the hexadecimal value to decimal, you can compare it to the values in Task Manager.

    También puede correlacionar este identificador de proceso con un identificador de proceso en otros eventos, por ejemplo, "4688: se ha creado un nuevo proceso" identificador de proceso de Information\New de proceso.You can also correlate this process ID with a process ID in other events, for example, “4688: A new process has been created” Process Information\New Process ID.

  • Nombre de proceso \ [type = UnicodeString ]: ruta de acceso completa y el nombre del archivo ejecutable para el proceso.Process Name [Type = UnicodeString]: full path and the name of the executable for the process.

Información de red:Network Information:

  • Nombre de la estación de trabajo \ [type = UnicodeString ]: nombre del equipo en el que se realizó el intento de inicio de sesión.Workstation Name [Type = UnicodeString]: machine name to which logon attempt was performed.

  • Dirección de red de origen \ [type = UnicodeString ]: dirección IP del equipo desde el que se realizó el intento de inicio de sesión.Source Network Address [Type = UnicodeString]: IP address of machine from which logon attempt was performed.

    • Dirección IPv6 o:: ffff: dirección IPv4 de un cliente.IPv6 address or ::ffff:IPv4 address of a client.

    • :: 1 o 127.0.0.1 significa localhost.::1 or 127.0.0.1 means localhost.

  • Puerto de origen \ [type = UnicodeString ]: Puerto de origen usado para el intento de inicio de sesión en el equipo remoto.Source Port [Type = UnicodeString]: source port which was used for logon attempt from remote machine.

    • 0 para inicios de sesión interactivos.0 for interactive logons.

Información de autenticación detallada:Detailed Authentication Information:

  • Proceso de inicio de sesión \ [type = UnicodeString ]: el nombre del proceso de inicio de sesión de confianza que se usó para el inicio de sesión.Logon Process [Type = UnicodeString]: the name of the trusted logon process that was used for the logon. Consulte evento "4611: se ha registrado un proceso de inicio de sesión de confianza en la descripción de la autoridad de seguridad local para obtener más información.See event “4611: A trusted logon process has been registered with the Local Security Authority” description for more information.

  • Paquete de autenticación \ [type = UnicodeString ]: el nombre del paquete de autenticación que se usó para el proceso de autenticación de inicio de sesión.Authentication Package [Type = UnicodeString]: The name of the authentication package which was used for the logon authentication process. Los paquetes predeterminados cargados en el inicio de LSA se encuentran en la clave del registro "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig".Default packages loaded on LSA startup are located in “HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig” registry key. Otros paquetes se pueden cargar en tiempo de ejecución.Other packages can be loaded at runtime. Cuando se carga un paquete nuevo, "4610: la autoridad de seguridad local ha cargado un paquete de autenticación" (normalmente para NTLM) o "4622: el evento de la autoridad de seguridad local (normalmente para Kerberos) se registra para indicar que se ha cargado un paquete nuevo junto con el nombre del paquete.When a new package is loaded a “4610: An authentication package has been loaded by the Local Security Authority” (typically for NTLM) or “4622: A security package has been loaded by the Local Security Authority” (typically for Kerberos) event is logged to indicate that a new package has been loaded along with the package name. Los paquetes de autenticación más comunes son los siguientes:The most common authentication packages are:

    • NTLM : autenticación de la familia NTLMNTLM – NTLM-family Authentication

    • Kerberos : autenticación Kerberos.Kerberos – Kerberos authentication.

    • Negotiate : el paquete de seguridad de negociación selecciona entre los protocolos Kerberos y NTLM.Negotiate – the Negotiate security package selects between Kerberos and NTLM protocols. La función Negotiate selecciona Kerberos, a menos que uno de los sistemas implicados en la autenticación o la aplicación que realiza la llamada no la use, no proporcionó suficiente información para usar Kerberos.Negotiate selects Kerberos unless it cannot be used by one of the systems involved in the authentication or the calling application did not provide sufficient information to use Kerberos.

  • Servicios en tránsito \ [type = UnicodeString ] \ [Kerberos-Only ]: la lista de servicios transmitidos.Transited Services [Type = UnicodeString] [Kerberos-only]: the list of transmitted services. Los servicios transmitidos se rellenan si el inicio de sesión fue resultado de un proceso de inicio de sesión S4U (servicio para el usuario).Transmitted services are populated if the logon was a result of a S4U (Service For User) logon process. S4U es una extensión de Microsoft para el protocolo Kerberos que permite a un servicio de la aplicación obtener un vale de servicio Kerberos en nombre de un usuario, generalmente realizado por un sitio web Front-end para acceder a un recurso interno en nombre de un usuario.S4U is a Microsoft extension to the Kerberos Protocol to allow an application service to obtain a Kerberos service ticket on behalf of a user – most commonly done by a front-end website to access an internal resource on behalf of a user. Para obtener más información sobre S4U, consulteFor more information about S4U, see https://msdn.microsoft.com/library/cc246072.aspx

  • Nombre del paquete (solo NTLM) \ [type = UnicodeString ]: el nombre del subpaquete de LAN Manager (nombre de protocolode la familia NTLM ) que se usó durante el inicio de sesión.Package Name (NTLM only) [Type = UnicodeString]: The name of the LAN Manager sub-package (NTLM-family protocol name) that was used during logon. Los valores posibles son:Possible values are:

    • "NTLM V1"“NTLM V1”

    • "NTLM V2"“NTLM V2”

    • Manager“LM”

      Solo se rellena si "paquete de autenticación" = "NTLM".Only populated if “Authentication Package” = “NTLM”.

  • Longitud de la clave \ [type = UInt32 ]: la longitud de la clave de seguridad de la sesión NTLM .Key Length [Type = UInt32]: the length of NTLM Session Security key. Normalmente tiene una longitud de 128 bits o 56 bits.Typically it has 128 bit or 56 bit length. Este parámetro siempre es 0 si "paquete de autenticación" = "Kerberos", porque no es aplicable al protocolo Kerberos.This parameter is always 0 if “Authentication Package” = “Kerberos”, because it is not applicable for Kerberos protocol. Este campo también tendrá el valor "0" Si Kerberos se negoció con el paquete de autenticación Negotiate .This field will also have “0” value if Kerberos was negotiated using Negotiate authentication package.

Recomendaciones de supervisión de seguridadSecurity Monitoring Recommendations

Para 4624 (S): una cuenta ha iniciado sesión correctamente.For 4624(S): An account was successfully logged on.

Tipo de supervisión necesariaType of monitoring required RecomendaciónRecommendation
Cuentas de alto valor: es posible que tenga cuentas locales o de dominio de valor alto para las cuales necesita supervisar cada acción.High-value accounts: You might have high-value domain or local accounts for which you need to monitor each action.
Ejemplos de cuentas de valor alto son los administradores de bases de datos, la cuenta de administrador local integrada, los administradores de dominio, las cuentas de servicio, las cuentas de controlador de dominio y así sucesivamente.Examples of high-value accounts are database administrators, built-in local administrator account, domain administrators, service accounts, domain controller accounts and so on.
Supervisa este evento con el "nuevo identificador de Logon\Security" que corresponde a la cuenta o cuentas de alto valor.Monitor this event with the “New Logon\Security ID” that corresponds to the high-value account or accounts.
Anomalías o acciones malintencionadas: es posible que tenga requisitos específicos para detectar anomalías o supervisar posibles acciones malintencionadas.Anomalies or malicious actions: You might have specific requirements for detecting anomalies or monitoring potential malicious actions. Por ejemplo, es posible que necesite supervisar el uso de una cuenta fuera del horario laboral.For example, you might need to monitor for use of an account outside of working hours. Cuando supervise las anomalías o las acciones malintencionadas, use el "nuevo identificador de Logon\Security" (con otra información) para supervisar cómo o Cuándo se usa una cuenta en particular.When you monitor for anomalies or malicious actions, use the “New Logon\Security ID” (with other information) to monitor how or when a particular account is being used.
Cuentas no activas: es posible que tenga cuentas no activas, deshabilitadas o de invitado, u otras cuentas que nunca deberían usarse.Non-active accounts: You might have non-active, disabled, or guest accounts, or other accounts that should never be used. Supervisa este evento con el "nuevo identificador de Logon\Security" que corresponde a las cuentas que nunca deberían usarse.Monitor this event with the “New Logon\Security ID” that corresponds to the accounts that should never be used.
Lista blancade cuentas: es posible que tenga una lista de permitidos específica de cuentas que sean las únicas a las que se permite realizar acciones correspondientes a eventos concretos.Account whitelist: You might have a specific allow list of accounts that are the only ones allowed to perform actions corresponding to particular events. Si este evento corresponde a una acción "permitir solo la lista", revise la "nueva LOGON\SECURITY ID" para cuentas que están fuera de la lista de permitidos.If this event corresponds to a “allow list-only” action, review the “New Logon\Security ID” for accounts that are outside the allow list.
Cuentas de diferentes tipos: es posible que desee asegurarse de que determinadas acciones solo se realizan mediante determinados tipos de cuenta, por ejemplo, una cuenta local o de dominio, una cuenta de equipo o de usuario, proveedor o empleado, etc.Accounts of different types: You might want to ensure that certain actions are performed only by certain account types, for example, local or domain account, machine or user account, vendor or employee account, and so on. Si este evento corresponde a una acción que desea supervisar para determinados tipos de cuenta, revise la "nueva LOGON\SECURITY ID" para ver si el tipo de cuenta es el esperado.If this event corresponds to an action you want to monitor for certain account types, review the “New Logon\Security ID” to see whether the account type is as expected.
Cuentas externas: es posible que esté supervisando las cuentas de otro dominio o cuentas "externas" que no tienen permitido realizar determinadas acciones (representadas por determinados eventos específicos).External accounts: You might be monitoring accounts from another domain, or “external” accounts that are not allowed to perform certain actions (represented by certain specific events). Supervise este evento para el "dominio Subject\Account" correspondiente a las cuentas de otro dominio o a cuentas "externas".Monitor this event for the “Subject\Account Domain” corresponding to accounts from another domain or “external” accounts.
Uso restringido de equipos o dispositivos: es posible que tenga ciertos equipos, equipos o dispositivos en los que determinadas personas (cuentas) no deberían realizar ninguna acción por lo general.Restricted-use computers or devices: You might have certain computers, machines, or devices on which certain people (accounts) should not typically perform any actions. Supervise el equipo de destino : (u otro dispositivo de destino) para las acciones realizadas por el "nuevo ID Logon\Security" que le interesa.Monitor the target Computer: (or other target device) for actions performed by the “New Logon\Security ID” that you are concerned about.
Convenciones de nomenclatura para cuentas: es posible que su organización tenga convenciones de nomenclatura específicas para los nombres de cuenta.Account naming conventions: Your organization might have specific naming conventions for account names. Monitor "nombre de Subject\Account" para los nombres que no cumplen con las convenciones de nomenclatura.Monitor “Subject\Account Name” for names that don’t comply with naming conventions.
  • Como la cuenta del sistema suele desencadenar este evento, le recomendamos que lo informe cada vez que "SUBJECT\SECURITY ID" no sea el sistema.Because this event is typically triggered by the SYSTEM account, we recommend that you report it whenever “Subject\Security ID” is not SYSTEM.

  • Si se debe usar el modo "Administrador restringido" para los inicios de sesión en ciertas cuentas, use este evento para supervisar los inicios de sesión en "nuevo identificador de Logon\Security" en relación con "tipo de inicio de sesión" = 10 y "modo deAdministrador restringido" = "sí".If “Restricted Admin” mode must be used for logons by certain accounts, use this event to monitor logons by “New Logon\Security ID” in relation to “Logon Type”=10 and “Restricted Admin Mode”=”Yes”. Si el "modo de administrador restringido" = "no" para estas cuentas, active una alerta.If “Restricted Admin Mode”=”No” for these accounts, trigger an alert.

  • Si necesita supervisar todos los eventos de inicio de sesión de cuentas con privilegios de administrador, supervise este evento con "token elevado" = "sí".If you need to monitor all logon events for accounts with administrator privileges, monitor this event with “Elevated Token”=”Yes”.

  • Si necesita supervisar todos los eventos de inicio de sesión para las cuentas de servicio administradas y las cuentas de servicio administradas de grupo, supervise los eventos con "cuenta virtual" = "sí".If you need to monitor all logon events for managed service accounts and group managed service accounts, monitor for events with “Virtual Account”=”Yes”.

  • Para supervisar la falta de coincidencia entre el tipo de inicio de sesión y la cuenta que lo usa (por ejemplo, si un miembro de un grupo administrativo de dominio usa un tipo de inicio de sesión 4-batch o 5-Service), supervise el tipo de inicio de sesión en este evento.To monitor for a mismatch between the logon type and the account that uses it (for example, if Logon Type 4-Batch or 5-Service is used by a member of a domain administrative group), monitor Logon Type in this event.

  • Si su organización restringe los inicios de sesión de las siguientes maneras, puede usar este evento para supervisar según corresponda:If your organization restricts logons in the following ways, you can use this event to monitor accordingly:

    • Si la cuenta de usuario "New LOGON\SECURITY ID" nunca se debe usar para iniciar sesión desde el equipo específico:.If the user account “New Logon\Security ID” should never be used to log on from the specific Computer:.

    • Si las nuevas credenciales de identificador de Logon\Security no se deben usar desde el nombre de estación de trabajo o la dirección de red de origen.If New Logon\Security ID credentials should not be used from Workstation Name or Source Network Address.

    • Si una cuenta específica, como una cuenta de servicio, solo se debe usar desde la lista de direcciones IP interna (o alguna otra lista de direcciones IP).If a specific account, such as a service account, should only be used from your internal IP address list (or some other list of IP addresses). En este caso, puede supervisar la dirección de red de Information\Source y comparar la dirección de red con la lista de direcciones IP.In this case, you can monitor for Network Information\Source Network Address and compare the network address with your list of IP addresses.

    • Si una versión determinada de NTLM siempre se usa en su organización.If a particular version of NTLM is always used in your organization. En este caso, puede usar este evento para supervisar el nombre del paquete (solo NTLM), por ejemplo, para buscar eventos donde el nombre del paquete (solo NTLM) no es igual a NTLM v2.In this case, you can use this event to monitor Package Name (NTLM only), for example, to find events where Package Name (NTLM only) does not equal NTLM V2.

    • Si NTLM no se usa en su organización o no debe usarse en una cuenta específica (nuevo identificador de Logon\Security).If NTLM is not used in your organization, or should not be used by a specific account (New Logon\Security ID). En este caso, supervise todos los eventos en los que el paquete de autenticación es NTLM.In this case, monitor for all events where Authentication Package is NTLM.

    • Si el paquete de autenticación es NTLM.If the Authentication Package is NTLM. En este caso, monitor de longitud de clave no es igual a 128, ya que todos los sistemas operativos de Windows que comienzan con Windows 2000 son 128 compatibles con la longitud de clave de bits.In this case, monitor for Key Length not equal to 128, because all Windows operating systems starting with Windows 2000 support 128-bit Key Length.

  • Si supervisa software posiblemente malintencionado, o software que no tiene autorización para solicitar acciones de inicio de sesión, supervise este evento para el nombre de proceso.If you monitor for potentially malicious software, or software that is not authorized to request logon actions, monitor this event for Process Name.

  • Si tiene una lista de procesos de inicio de sesión de confianza, supervise si hay un proceso de inicio de sesión que no esté en la lista.If you have a trusted logon processes list, monitor for a Logon Process that is not from the list.