域环境下的登录事件

248 天前
 nullo

域环境下 windows 出现很多 4624 的日志,但是当账号并没有进行登录操作的时候,也会显示 4624 ,应该如何判断某个域账户是否执行登录操作呢

1078 次点击
所在节点    程序员
3 条回复
Tumblr
248 天前
4624 只表明了 successfully log on ,你还要看 logon type ,有的是 SYSTEM 行为,有的是 WebAPI 等等,具体参考:
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/event-4624
nullo
248 天前
@Tumblr 我发现基本都是 network 的类型, "3 Network 从网络登录到此计算机的用户或计算机。"

实际域用户登录应该是 “ 2 Interactive 用户登录到这台计算机 ” 类型吗 ??,测试了一下还是没有搞明白
nullo
248 天前
另外,由于企业内部还有共享,所有的 4624 的类型全部为 3 ,几乎全部是访问共享,为啥没有其他的类型 ID 呢

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1026319

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX