Anmeldeereignisse, die während Ihrer Abwesenheit auftreten, sind nicht unbedingt bösartig
Es ist völlig normal, dass ein System Anmeldeereignisse erlebt, obwohl keine Eingriffe erfolgen. Dazu benötigen Sie nicht einmal Programme von Drittanbietern. Windows selbst generiert Anmeldeereignisse.
Zum Beispiel wird Windows standardmäßig mit verschiedenen Aufgaben konfiguriert, die im Taskplaner geplant sind. Wenn eine dieser Aufgaben ausgeführt wird, muss sie im Kontext eines Benutzerkontos gestartet werden, auch wenn dies einem eingebauten SYSTEM
Konto ähnelt. Dadurch wird ein Anmeldeereignis generiert und im Sicherheitsereignisprotokoll mit der Ereignis-ID 4624 protokolliert.
So identifizieren Sie unerwünschte Anmeldungen
Wenn Sie den Verdacht haben, dass Ihr Computer unerwünscht ist, müssen Sie die Ereignisse selbst genauer betrachten. Insbesondere sollten Sie das überprüfen Logon Type
Feld, das unterscheidet, wie das Konto auf protokolliert wurde. Mögliche Typen sind:
Type / Description 2 Interactive (logon at keyboard and screen of system) 3 Network (i.e. connection to shared folder on this computer from elsewhere on network) 4 Batch (i.e. scheduled task) 5 Service (Service startup) 7 Unlock (i.e. unnattended workstation with password protected screen saver) 8 NetworkCleartext (Logon with credentials sent in the clear text. Most often indicates a logon to IIS with "basic authentication") See this article for more information. 9 NewCredentials such as with RunAs or mapping a network drive with alternate credentials. This logon type does not seem to show up in any events. If you want to track users attempting to logon with alternate credentials see 4648. 10 RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance) 11 CachedInteractive (logon with cached domain credentials such as when logging on to a laptop when away from the network)
Die Anmeldetypen, die am stärksten darauf hindeuten, dass jemand interaktive / Remote-Zugriffe erhalten hat, sind 2, 7, 10 und 11 .
Beachten Sie bei verdächtigen Anmeldeereignissen die Felder Account Name
und Account Domain
, da diese normalerweise den Namen des angemeldeten Benutzers angeben.
Wenn Ihr System bereits gefährdet ist, finden möglicherweise unerwünschte Anmeldungen statt. Wenn jedoch solche Anmeldungen versucht werden, jedoch ein Fehler auftritt, können Sie diese überprüfen, indem Sie die Ereignis-ID 4625 im Sicherheitsprotokoll überprüfen. Dies zeigt an, dass ein versuchter, aber fehlgeschlagener Anmeldungsvorgang stattgefunden hat . Der Anmeldetyp und andere oben diskutierte Felder gelten auch für diese Ereignisse. (Beachten Sie, dass Ihr System so konfiguriert sein muss, dass diese Ereignisse protokolliert werden, bevor sie in der Ereignisanzeige erfasst werden.)