ID sự kiện 4624, Tài khoản đã được đăng nhập thành công

Bạn có thể thường xuyên gặp phải ID sự kiện 4624, Tài khoản đã được đăng nhập thành công thông báo trong Trình xem sự kiện trong quá trình kiểm tra định kỳ của bạn. Tuy nhiên, không có gì phải lo lắng vì đây là nhật ký bảo mật Windows thông thường được tạo bất cứ khi nào bạn đăng nhập thành công vào máy tính. Vì vậy, nếu bất cứ lúc nào bạn cần kiểm tra lịch sử đăng nhập của người dùng, bạn cần tìm ID sự kiện 4624.

Tuy nhiên, bạn có thể lo ngại nếu một tài khoản có vẻ không quen thuộc với bạn hoặc nếu bạn nghi ngờ rằng tài khoản của mình có thể đã bị hack. Trong trường hợp như vậy, bạn cần xem lại Nhật ký bảo mật Windows trong Trình xem sự kiện một cách chính xác để xác định mọi mối đe dọa và loại bỏ chúng cho phù hợp.

ID sự kiện 4624, Tài khoản đã được đăng nhập thành công

Như đã nói, chúng tôi có hướng dẫn chi tiết để giúp bạn hiểu mọi thứ về Windows Event ID 4624 và cách phát hiện bất kỳ sự cố nào.

ID sự kiện 4624 là gì?

ID sự kiện 4624 trong Nhật ký sự kiện Windows cho biết mọi phiên đăng nhập thành công trên máy tính đích. Cài đặt kiểm tra này được tạo trên máy bạn đã truy cập và nơi bạn đã tạo phiên. Vì vậy, nếu có ai đó đang rình mò máy tính của bạn thì đây chính là ID sự kiện mà bạn cần tìm.

Ngoài ra, đây là một thông tin có giá trị cao cho bạn biết chính xác ai (người dùng) đã đăng nhập và từ tài khoản nào. Đối với điều này, bạn có thể kiểm tra Đăng nhập mới trường hiển thị các chi tiết sau:

• ID bảo mật
• Tên tài khoản
• Tên miền tài khoản
• Đăng nhập số nhận dạng

Tuy nhiên, chúng tôi cũng sẽ giải thích các thuộc tính khác liên quan đến ID sự kiện 4624 bên dưới.

Ghi chú – Bạn có thể định cấu hình cài đặt kiểm tra này trong Chính sách bảo mật cục bộ hoặc Trình chỉnh sửa chính sách nhóm (gpedit.msc). Sau đó, bạn có thể thay đổi các tùy chọn kiểm tra để quan sát các lần đăng nhập thành công vì mục đích bảo mật. Tuy nhiên, những cài đặt này chỉ có thể ghi lại các sự kiện trên máy tính cục bộ chứ không phải trên bộ điều khiển miền.

Thuộc tính ID sự kiện Windows 4624

Bạn có thể tìm thấy các thuộc tính của ID sự kiện trong phần Tổng quan chuyển hướng. Tại đây, bạn sẽ tìm thấy các trường dưới đây:

1) Chủ đề

ID bảo mật (SID):

Nó biểu thị rằng đã có một đăng nhập thành công.

Tên tài khoản

Tên tài khoản đã đăng nhập thành công. Điều này giúp bạn xác định xem đó có phải là tài khoản hợp pháp hay không.

Tên miền tài khoản

Miền của tài khoản/tên máy tính đã ghi lại sự kiện rất hữu ích cho việc khắc phục sự cố.

ID đăng nhập

Biểu thị giá trị thập lục phân có thể hữu ích để liên kết sự kiện này với bất kỳ sự kiện nào gần đây có thể có cùng ID đăng nhập. Hơn nữa, nó cũng giúp bạn xác định mọi vấn đề với các sự kiện và khắc phục sự cố tương ứng.

Đọc: Cách tắt Nhật ký sự kiện Windows

2) Thông tin đăng nhập

Tài sản này bao gồm những điều sau đây:

Loại đăng nhập

* Dữ liệu lịch sự – Microsoft

Chế độ quản trị bị hạn chế

Bạn chỉ thấy điều này khi người dùng đăng nhập thành công từ xa thông qua Dịch vụ đầu cuối hoặc Máy tính từ xa. Giá trị của Chế độ quản trị bị hạn chế là giá trị boolean, nghĩa là Có hoặc Không.

Tài khoản ảo

Một lần nữa, giá trị của Tài khoản ảo là Có hoặc Không. Điều này cho biết tài khoản ghi lại thông tin đăng nhập thành công có phải là tài khoản ảo hay không. Ví dụ: Tài khoản dịch vụ được quản lý.

Mã thông báo nâng cao

Đây lại là trường Có hoặc Không, biểu thị xem tài khoản đã bắt đầu đăng nhập thành công (ID sự kiện 4624) có phải là tài khoản quản trị viên hay không.

3) Mức độ mạo danh

Trường này cho biết mức độ một quá trình trong phiên đăng nhập mạo danh (mô phỏng). Đó là cấp độ quyền hạn được máy chủ cho phép để thay mặt khách hàng bắt chước. 4 cấp độ khác nhau là Ẩn danh, Nhận dạng, Mạo danh và Ủy quyền.

Đọc: Nhật ký bảo mật hiện đã đầy (ID sự kiện 1104)

4) Mới Đăng nhập

Đây là tài khoản thực sự đã đăng nhập và phiên đăng nhập đã được tạo. Bạn có thể so sánh tên máy tính với miền tài khoản để xác định đó là miền cục bộ hay miền. Nếu nó khớp thì đó là địa phương; nếu không thì đó là tài khoản miền.

Hơn nữa, nó được chia thành hai loại: Thông tin tài khoản và mạng:

thông tin tài khoản

• ID bảo mật – SID đã ghi lại lần đăng nhập thành công của ID sự kiện bảo mật Windows 4624.
• Tên tài khoản – Thực hiện đăng nhập thành công.
• Tên miền tài khoản – Tên miền có thể có một trong các định dạng sau: NeTBIOS tên miền, ở dạng chữ thường hoặc chữ hoa. Nhưng nếu Tên miền tài khoản hiển thị QUYỀN NTđiều đó có nghĩa là tài khoản đăng nhập là một DỊCH VỤ ĐỊA PHƯƠNG hoặc ĐĂNG NHẬP Nặc danh.
• ID đăng nhập – Nó hiển thị giá trị thập lục phân hữu ích cho việc khắc phục sự cố.
• ID đăng nhập được liên kết – Lại là giá trị thập lục phân liên quan đến phiên Đăng nhập. Nếu không có sự kiện đăng nhập liên quan thì giá trị là 0x0.
• HƯỚNG DẪN – Cho phép bạn liên kết hai sự kiện, một trong số đó là ID sự kiện 4624 và sự kiện còn lại có cùng GUID, do đó, giúp bạn xác định mối đe dọa tiềm ẩn.

Thông tin mạng

• Tài khoản mạng Tên – Chỉ liên quan đến Thông tin xác thực mới Tuy nhiên, loại đăng nhập là loại khác thì Tên tài khoản mạng được ghi là “–“.
• Tên miền tài khoản mạng – Chỉ áp dụng cho Thông tin xác thực mới kiểu đăng nhập. Nếu người dùng muốn tạo kết nối mạng, họ sẽ cần sử dụng tên miền như được chỉ định trong trường này. Nhưng nếu kiểu đăng nhập là kiểu khác, nó sẽ được ghi là “–“.

5) Thông tin quy trình

Trường này cung cấp chi tiết về quy trình ghi lại sự kiện đăng nhập thành công.

• Xử lý ID – Nó hiển thị giá trị thập lục phân mà Windows và hệ điều hành khác sử dụng để xác định riêng một quy trình. Để xem Xử lý ID của tất cả các quy trình hiện đang chạy trên PC Windows của bạn, hãy khởi chạy PowerShellchạy Nhận quy trình ra lệnh và đánh Đi vào. Bây giờ, thay đổi giá trị thập lục phân của Xử lý ID thành số thập phân trong ID sự kiện 4624. Điều này giúp bạn so sánh ID tiến trình với một trong các ID được tạo bởi Nhận quy trình Lệnh PowerShell.
• Tên quy trình – Ghi lại thông tin đăng nhập thành công.

Đọc: ID sự kiện 1101, Sự kiện kiểm tra đã bị loại bỏ do quá trình vận chuyển. 0

6) Thông tin mạng

Phần này cung cấp cho bạn thông tin quan trọng liên quan đến mục đích khắc phục sự cố. Ví dụ: người dùng đã đăng nhập từ máy tính nào, địa chỉ IP của PC và cổng được sử dụng.

• Tên máy trạm – Ghi lại tên PC mà người dùng đã đăng nhập.
• Địa chỉ mạng nguồn – Đăng ký địa chỉ IP của PC mà người dùng đã đăng nhập.
• Cổng nguồn – Ghi lại cổng TCP gốc của máy từ xa được sử dụng để đăng nhập.

7) Thông tin xác thực chi tiết

Trường này thể hiện cách bắt đầu quá trình xác thực. Nó duy trì một bản ghi về quá trình xác thực và gói được sử dụng. Nó cũng hiển thị các chi tiết khác như Dịch vụ chuyển tiếp, Tên gói hàngVà Độ dài phím.

• Quá trình đăng nhập – Nó hiển thị tên của quá trình đăng nhập được xác thực mà người dùng đã sử dụng để đăng nhập khi hệ thống ghi lại Windows Event ID 4624.
• Gói xác thực – Đăng ký loại gói xác thực đã được sử dụng để đăng nhập vào máy tính này.
• Dịch vụ chuyển tiếp – Chỉ hiển thị các dịch vụ được truyền đi (chỉ dành cho Kerberos).
• Tên gói hàng – Nó ghi lại phiên bản NTLM nếu yêu cầu đăng nhập được xác thực bởi giao thức NTLM.
• Độ dài phím – Chỉ áp dụng cho Giao thức xác thực NTLM. Đối với những người khác, trường trả về 0.

Ngoài ra, đối với ID sự kiện 4624, Microsoft có một số đề xuất bổ sung về loại giám sát cần thiết dựa trên tình huống.

ID sự kiện 4625 là gì?

ID sự kiện 4625 đăng ký bất cứ khi nào người dùng không đăng nhập được vào máy tính cục bộ. Sự kiện này được điền trên thiết bị mà người dùng đã cố gắng đăng nhập. Ngoài ra, để xác định các lần đăng nhập không thành công, bạn có thể tạo tập lệnh PowerShell có thể giúp bạn tìm nhật ký Sự kiện Windows bằng ID sự kiện 4625.

ID sự kiện 4634 là gì?

ID sự kiện 4634 cho biết tài khoản đã bị đăng xuất. Điều này có nghĩa là bất cứ khi nào phiên đăng nhập kết thúc (đăng xuất), Sự kiện 4634 sẽ được tạo. Tuy nhiên, điều này khác với ID sự kiện 4647, biểu thị rằng người dùng đã bắt đầu đăng xuất. Trong trường hợp này, nó chỉ đăng ký rằng phiên không còn chạy nữa và đã kết thúc.