Estoy intentando filtrar del Registro de eventos de seguridad aquellos registros que corresponden al usuario (yo) que inicia sesión escribiendo la contraseña en el teclado. Me gustaría que detecte el desbloqueo de la pantalla y el inicio de sesión después de encender la PC.
Creo que el ID de evento responsable de esto es 4624.
Mi problema es que hay una multitud de esos ID de eventos creados cada vez que se produce un inicio de sesión.
Para filtrar esto, reviso el XML de todos los ID de eventos 4624 para:
Si es
"LogonType" == 2, el tipo número dos se asigna al inicio de sesión en pantalla/teclado interactivo.Si es
"TargetUsername" == Myusername, esto elimina todos los eventos de inicio de sesión iniciados por otros servicios.Si es así
"LogonGuid" != "00000000-0000-0000-0000-000000000000", esto elimina las copias redundantes del evento de inicio de sesión que también tiene mi nombre"TargetUsername"y ocurre dentro de unos pocos milisegundos de un inicio de sesión conGUIDuna ID distinta de cero.
No estoy seguro de si este es el enfoque correcto, ya que al usarlo parece perderse el evento de inicio de sesión después del inicio. Ninguno de los eventos ocurridos en el momento en que inicié sesión por primera vez después del cierre cumplieron las tres condiciones.
Hoy, alrededor de las 9:30, hubo una serie de 4624 eventos, pero ninguno que se ajustara a mis criterios. A continuación se muestra mi extracto de inicio/cierre de sesión, hay dos eventos de cierre de sesión consecutivos sin ningún inicio de sesión entre ellos. Sin embargo, inicié sesión alrededor de las 9:30.
Log in: 12-10T13:45:09.92629
Log out: 12-10T13:06:44.29530
Log in: 12-10T09:59:15.51808
Log out: 12-10T09:48:59.63086 <--
Log out: 12-07T17:36:59.08875 <--
Log in: 12-07T15:12:21.93870
Log out: 12-07T15:10:52.82871
Log in: 12-07T14:05:37.53658
Log out: 12-07T13:57:03.61220
Log in: 12-07T13:35:47.04114
Log out: 12-07T13:35:33.83213
Log in: 12-07T13:19:58.33986
Log out: 12-07T13:19:49.87156
Log in: 12-07T12:54:40.80056
Log out: 12-07T12:15:52.70091
Log in: 12-07T09:50:54.37527
Log out: 12-07T09:33:20.24622
Log in: 12-07T09:32:22.36908
Log out: 12-06T17:10:28.06655
Log in: 12-06T16:37:02.14689
Log out: 12-06T16:26:36.92315
Log in: 12-06T12:58:48.43339
Log out: 12-06T12:04:33.35497
Hay un evento con LogonTypevalor 2, pero es , al mismo tiempo hay otro evento con nombre de usuario correcto (mne) TargetUserNamecomo pero es .UMFD-0TargetUserNameLogonType11
Reinicié e intenté encontrarlo nuevamente y esta vez hubo un evento que satisfizo esos tres filtros. No estoy seguro de si esto fue único o más bien es probable que mi comprensión esté muy equivocada.
¿Cómo estructuro mi secuencia de comandos para encontrar las veces que inicié sesión desde el teclado usando los ID de eventos de Windows?
¡Gracias!
Respuesta1
Parece que mi enfoque de filtrado es sólo parcialmente correcto, ya que no todos los inicios de sesión con teclado se manifiestan en el Visor de eventos como Evento 4624 de tipo 2. A continuación se muestra una tabla de tipos de inicio de sesión junto con su descripción, tabla procedente demáxima seguridad de windows.
Logon Description
Type
-----------------------------------------------------------------------------------------------------
2 Interactive (logon at keyboard and screen of system)
3 Network (i.e. connection to shared folder on this computer from elsewhere on network)
4 Batch (i.e. scheduled task)
5 Service (Service startup)
7 Unlock (i.e. unnattended workstation with password protected screen saver)
8 NetworkCleartext (Logon with credentials sent in the clear text. Most often indicates
a logon to IIS with "basic authentication")
9 NewCredentials such as with RunAs or mapping a network drive with alternate credentials.
This logon type does not seem to show up in any events. If you want to track users attempting
to logon with alternate credentials see 4648. MS says "A caller cloned its current token and
specified new credentials for outbound connections. The new logon session has the same local
identity, but uses different credentials for other network connections."
10 RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance)
11 CachedInteractive (logon with cached domain credentials such as
when logging on to a laptop when away from the network)
La definición exacta de un inicio de sesión interactivo todavía me resulta un poco confusa porque encuentro definiciones contradictorias, pero los tipos 10 y 11 tienen Interactivo en su descripción. El tipo 11 ocurre cuando inicio sesión en mi estación de trabajo mientras no estoy conectado a la red.
Agregar ese evento y tipo al filtro me ha permitido detectar todos los eventos de inicio de sesión.