Ich versuche, aus dem Sicherheitsereignisprotokoll jene Protokolle herauszufiltern, die sich auf die Anmeldung des Benutzers (ich) beziehen, indem ich das Passwort auf der Tastatur eingebe. Ich möchte, dass das Entsperren des Bildschirms sowie die Anmeldung nach dem Einschalten des PCs erkannt werden.
Ich glaube, dass die dafür verantwortliche Ereignis-ID 4624 ist.
Mein Problem besteht darin, dass bei jeder Anmeldung eine Vielzahl dieser Ereignis-IDs erstellt wird.
Um dies herauszufiltern, suche ich im XML aller 4624 Ereignis-IDs nach:
Wenn ja
"LogonType" == 2, wird Typ Nummer zwei der interaktiven Tastatur-/Bildschirmanmeldung zugewiesen.Wenn
"TargetUsername" == Myusernamedies der Fall ist, werden alle von anderen Diensten initiierten Anmeldeereignisse entfernt.Wenn
"LogonGuid" != "00000000-0000-0000-0000-000000000000", werden redundante Kopien des Anmeldeereignisses entfernt, die auch meinen Namen enthalten"TargetUsername"und innerhalb weniger Millisekunden nach einer Anmeldung mitGUIDeiner ID ungleich Null erfolgen.
Ich bin nicht sicher, ob das der richtige Ansatz ist, da bei Verwendung anscheinend das Anmeldeereignis nach dem Hochfahren übersehen wird. Keines der Ereignisse um die Zeit, als ich mich nach dem Herunterfahren zum ersten Mal anmeldete, erfüllte alle drei Bedingungen.
Heute gegen 9:30 Uhr gab es eine Reihe von 4624 Ereignissen, aber keines, das meinen Kriterien entsprach. Unten ist mein Auszug aus der Anmeldung/Abmeldung, es gibt zwei aufeinanderfolgende Abmeldeereignisse ohne Anmeldung dazwischen. Ich habe mich jedoch gegen 9:30 Uhr angemeldet.
Log in: 12-10T13:45:09.92629
Log out: 12-10T13:06:44.29530
Log in: 12-10T09:59:15.51808
Log out: 12-10T09:48:59.63086 <--
Log out: 12-07T17:36:59.08875 <--
Log in: 12-07T15:12:21.93870
Log out: 12-07T15:10:52.82871
Log in: 12-07T14:05:37.53658
Log out: 12-07T13:57:03.61220
Log in: 12-07T13:35:47.04114
Log out: 12-07T13:35:33.83213
Log in: 12-07T13:19:58.33986
Log out: 12-07T13:19:49.87156
Log in: 12-07T12:54:40.80056
Log out: 12-07T12:15:52.70091
Log in: 12-07T09:50:54.37527
Log out: 12-07T09:33:20.24622
Log in: 12-07T09:32:22.36908
Log out: 12-06T17:10:28.06655
Log in: 12-06T16:37:02.14689
Log out: 12-06T16:26:36.92315
Log in: 12-06T12:58:48.43339
Log out: 12-06T12:04:33.35497
Es gibt ein Ereignis mit LogonTypedem Wert 2, aber es ist TargetUserName, UMFD-0gleichzeitig gibt es ein anderes Ereignis mit dem korrekten Benutzernamen (mne) wie das , TargetUserNameaber das LogonTypeist 11.
Ich habe neu gestartet und versucht, es erneut zu finden, und dieses Mal gab es ein Ereignis, das diese drei Filter erfüllte. Ich bin nicht sicher, ob dies ein Einzelfall war, oder ob mein Verständnis wahrscheinlich völlig falsch ist.
Wie strukturiere ich mein Skript, um mithilfe von Windows-Ereignis-IDs die Zeiten zu ermitteln, zu denen ich mich über die Tastatur angemeldet habe?
Danke!
Antwort1
Es scheint, dass mein Filteransatz nur teilweise korrekt ist, da sich nicht jede Tastaturanmeldung in der Ereignisanzeige als Ereignis 4624 vom Typ 2 manifestiert. Unten finden Sie eine Tabelle mit Anmeldetypen und deren Beschreibung. Die Tabelle stammt ausultimative Windows-Sicherheit.
Logon Description
Type
-----------------------------------------------------------------------------------------------------
2 Interactive (logon at keyboard and screen of system)
3 Network (i.e. connection to shared folder on this computer from elsewhere on network)
4 Batch (i.e. scheduled task)
5 Service (Service startup)
7 Unlock (i.e. unnattended workstation with password protected screen saver)
8 NetworkCleartext (Logon with credentials sent in the clear text. Most often indicates
a logon to IIS with "basic authentication")
9 NewCredentials such as with RunAs or mapping a network drive with alternate credentials.
This logon type does not seem to show up in any events. If you want to track users attempting
to logon with alternate credentials see 4648. MS says "A caller cloned its current token and
specified new credentials for outbound connections. The new logon session has the same local
identity, but uses different credentials for other network connections."
10 RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance)
11 CachedInteractive (logon with cached domain credentials such as
when logging on to a laptop when away from the network)
Die genaue Definition einer interaktiven Anmeldung ist mir immer noch etwas unklar, da ich widersprüchliche Definitionen finde, aber die Typen 10 und 11 enthalten „Interaktiv“ in ihrer Beschreibung. Typ 11 tritt auf, wenn ich mich bei meiner Arbeitsstation anmelde, während ich nicht mit dem Netzwerk verbunden bin.
Durch das Hinzufügen dieses Ereignisses und Typs zum Filter konnte ich alle Anmeldeereignisse herausfischen.