4624(S): una cuenta se ha iniciado sesión correctamente.

Event 4624 illustration

Subcategoría:  Auditar inicio de sesión

Descripción del evento:

Este evento genera cuando se crea una sesión de inicio de sesión (en el equipo de destino). Se genera en el equipo al que se ha accedido, donde se creó la sesión.

Nota

Para obtener recomendaciones, consulte Recomendaciones de supervisión de seguridad para este evento.


XML del evento:

<?xml version="1.0"?>
<Event
    xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}"/>
        <EventID>4624</EventID>
        <Version>2</Version>
        <Level>0</Level>
        <Task>12544</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8020000000000000</Keywords>
        <TimeCreated SystemTime="2015-11-12T00:24:35.079785200Z"/>
        <EventRecordID>211</EventRecordID>
        <Correlation ActivityID="{00D66690-1CDF-0000-AC66-D600DF1CD101}"/>
        <Execution ProcessID="716" ThreadID="760"/>
        <Channel>Security</Channel>
        <Computer>WIN-GG82ULGC9GO</Computer>
        <Security/>
    </System>
    <EventData>
        <Data Name="SubjectUserSid">S-1-5-18</Data>
        <Data Name="SubjectUserName">WIN-GG82ULGC9GO$</Data>
        <Data Name="SubjectDomainName">WORKGROUP</Data>
        <Data Name="SubjectLogonId">0x3e7</Data>
        <Data Name="TargetUserSid">S-1-5-21-1377283216-344919071-3415362939-500</Data>
        <Data Name="TargetUserName">Administrator</Data>
        <Data Name="TargetDomainName">WIN-GG82ULGC9GO</Data>
        <Data Name="TargetLogonId">0x8dcdc</Data>
        <Data Name="LogonType">2</Data>
        <Data Name="LogonProcessName">User32</Data>
        <Data Name="AuthenticationPackageName">Negotiate</Data>
        <Data Name="WorkstationName">WIN-GG82ULGC9GO</Data>
        <Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
        <Data Name="TransmittedServices">-</Data>
        <Data Name="LmPackageName">-</Data>
        <Data Name="KeyLength">0</Data>
        <Data Name="ProcessId">0x44c</Data>
        <Data Name="ProcessName">C:\\Windows\\System32\\svchost.exe</Data>
        <Data Name="IpAddress">127.0.0.1</Data>
        <Data Name="IpPort">0</Data>
        <Data Name="ImpersonationLevel">%%1833</Data>
        <Data Name="RestrictedAdminMode">-</Data>
        <Data Name="TargetOutboundUserName">-</Data>
        <Data Name="TargetOutboundDomainName">-</Data>
        <Data Name="VirtualAccount">%%1843</Data>
        <Data Name="TargetLinkedLogonId">0x0</Data>
        <Data Name="ElevatedToken">%%1842</Data>
    </EventData>
</Event>

Roles de servidor necesarios: Ninguno.

Versión mínima del sistema operativo: Windows Server 2008, Windows Vista.

Versiones de evento:

  • 0 - Windows Server 2008, Windows Vista.

  • 1 - Windows Server 2012, Windows 8.

    • Se ha agregado el campo "Nivel de suplantación".
  • 2 – Windows 10.

    • Se agregó la sección "Información de inicio de sesión:".

    • El tipo de inicio de sesión se ha movido a la sección "Información de inicio de sesión:".

    • Se ha agregado el campo "Modo de Administración restringido".

    • Se ha agregado el campo "Cuenta virtual".

    • Se ha agregado el campo "Token elevado".

    • Se ha agregado el campo "Id. de inicio de sesión vinculado".

    • Se ha agregado el campo "Nombre de cuenta de red".

    • Se ha agregado el campo "Dominio de cuenta de red".

Descripciones del campo:

Asunto:

  • Identificador de seguridad [Tipo = SID]: SID de la cuenta que informó de información sobre el inicio de sesión correcto o lo invoca. El Visor de eventos intenta automáticamente resolver los SID y muestra el nombre de la cuenta. Si no se puede resolver el SID, verá los datos de origen en el evento.

    Nota

    Un identificador de seguridad (SID) es un valor único de longitud variable que se usa para identificar un administrador de confianza (entidad de seguridad). Cada cuenta tiene un SID único emitido por una autoridad, como un controlador de dominio de Active Directory, que se almacena en una base de datos de seguridad. Cada vez que un usuario inicia sesión, el sistema recupera el SID de ese usuario de la base de datos y lo coloca en el token de acceso del usuario. El sistema utiliza el SID del token de acceso para identificar al usuario en todas las interacciones posteriores con la seguridad de Windows. Una vez que se utiliza un SID como identificador único para un usuario o grupo, no se puede volver a usar para identificar a otro usuario o grupo. Para más información sobre los SID, consulte Identificadores de seguridad.

  • Nombre de cuenta [Type = UnicodeString]: el nombre de la cuenta que informó de información sobre el inicio de sesión correcto.

  • Dominio de cuenta [Tipo = UnicodeString]: nombre de dominio o equipo del sujeto. Los formatos pueden variar e incluyen lo siguiente:

    • Ejemplo de nombre NETBIOS de dominio: CONTOSO

    • Nombre de dominio completo en minúsculas: contoso.local

    • Nombre de dominio completo en mayúsculas: CONTOSO.LOCAL

    • En el caso de algunas entidades de seguridad conocidas, como SERVICIO LOCAL o INICIO DE SESIÓN ANÓNIMO, el valor de este campo es "NT AUTHORITY".

    • En el caso de las cuentas de usuario locales, este campo contendrá el nombre del equipo o dispositivo al que pertenece esta cuenta, por ejemplo: "Win81".

  • Id. de inicio de sesión [Type = HexInt64]: valor hexadecimal que puede ayudarle a correlacionar este evento con eventos recientes que podrían contener el mismo identificador de inicio de sesión, por ejemplo, "4672(S): privilegios especiales asignados a un nuevo inicio de sesión".

Información de inicio de sesión [versión 2]:

  • Tipo de inicio de sesión [versión 0, 1, 2] [Tipo = UInt32]: el tipo de inicio de sesión que se realizó. La tabla siguiente contiene la lista de valores posibles para este campo.

Tipos y descripciones de inicio de sesión

Tipo de inicio de sesión Título de inicio de sesión Descripción
0 System Solo la usa la cuenta del sistema, por ejemplo, al iniciar el sistema.
2 Interactive Un usuario ha iniciado sesión en este equipo.
3 Network Un usuario o equipo ha iniciado sesión en este equipo desde la red.
4 Batch El tipo de inicio de sesión por lotes lo usan los servidores por lotes, donde los procesos pueden ejecutarse en nombre de un usuario sin su intervención directa.
5 Service El Administrador de control de servicios inició un servicio.
7 Unlock Esta estación de trabajo se ha desbloqueado.
8 NetworkCleartext Un usuario ha iniciado sesión en este equipo desde la red. La contraseña del usuario se pasó al paquete de autenticación en su forma sin confirmar. La autenticación integrada empaqueta todas las credenciales hash antes de enviarlas a través de la red. Las credenciales no atraviesan la red en texto no cifrado (también denominado cleartext).
9 NewCredentials Un llamador clonó su token actual y especificó nuevas credenciales para las conexiones salientes. La nueva sesión de inicio de sesión tiene la misma identidad local, pero usa credenciales diferentes para otras conexiones de red.
10 RemoteInteractive Un usuario ha iniciado sesión en este equipo de forma remota mediante Terminal Services o Escritorio remoto.
11 CachedInteractive Un usuario ha iniciado sesión en este equipo con credenciales de red almacenadas localmente en el equipo. No se contactó con el controlador de dominio para comprobar las credenciales.
12 CachedRemoteInteractive Igual que RemoteInteractive. Esto se usa para la auditoría interna.
13 CachedUnlock Inicio de sesión de estación de trabajo.
  • Modo de Administración restringido [versión 2] [Tipo = UnicodeString]: solo se rellena para sesiones de tipo de inicio de sesión RemoteInteractive. Se trata de una marca Sí/No que indica si las credenciales proporcionadas se pasaron mediante el modo de Administración restringido. El modo de Administración restringido se agregó en Win8.1/2012R2, pero esta marca se agregó al evento en Win10.

    Referencia: https://blogs.technet.com/b/kfalde/archive/2013/08/14/restricted-admin-mode-for-rdp-in-windows-8-1-2012-r2.aspx.

    Si no es un inicio de sesión de RemoteInteractive , será una cadena "-".

  • Cuenta virtual [versión 2] [Tipo = UnicodeString]: una marca "Sí" o "No", que indica si la cuenta es una cuenta virtual (por ejemplo, "Cuenta de servicio administrada"), que se introdujo en Windows 7 y Windows Server 2008 R2 para proporcionar la capacidad de identificar la cuenta que usa un servicio determinado, en lugar de simplemente usar "NetworkService".

  • Token con privilegios elevados [versión 2] [Type = UnicodeString]: una marca "Sí" o "No". Si es "Sí", la sesión que representa este evento se eleva y tiene privilegios de administrador.

Nivel de suplantación [versión 1, 2] [Tipo = UnicodeString]: puede tener uno de estos cuatro valores:

  • SecurityAnonymous (se muestra como cadena vacía): el proceso del servidor no puede obtener información de identificación sobre el cliente y no puede suplantar al cliente. Se define sin ningún valor dado y, por lo tanto, mediante reglas ANSI C, el valor predeterminado es cero.

  • SecurityIdentification (se muestra como "Identificación"): el proceso del servidor puede obtener información sobre el cliente, como identificadores de seguridad y privilegios, pero no puede suplantar al cliente. Esto resulta útil para los servidores que exportan sus propios objetos, por ejemplo, productos de base de datos que exportan tablas y vistas. Con la información de seguridad de cliente recuperada, el servidor puede tomar decisiones de validación de acceso sin poder usar otros servicios que usan el contexto de seguridad del cliente.

  • SecurityImpersonation (se muestra como "Suplantación"): el proceso de servidor puede suplantar el contexto de seguridad del cliente en su sistema local. El servidor no puede suplantar al cliente en sistemas remotos. Este es el tipo más común.

  • SecurityDelegation (se muestra como "Delegación"): el proceso del servidor puede suplantar el contexto de seguridad del cliente en sistemas remotos.

Nuevo inicio de sesión:

  • Identificador de seguridad [Tipo = SID]: SID de la cuenta para la que se realizó el inicio de sesión. El Visor de eventos intenta automáticamente resolver los SID y muestra el nombre de la cuenta. Si no se puede resolver el SID, verá los datos de origen en el evento.

    Nota

    Un identificador de seguridad (SID) es un valor único de longitud variable que se usa para identificar un administrador de confianza (entidad de seguridad). Cada cuenta tiene un SID único emitido por una autoridad, como un controlador de dominio de Active Directory, que se almacena en una base de datos de seguridad. Cada vez que un usuario inicia sesión, el sistema recupera el SID de ese usuario de la base de datos y lo coloca en el token de acceso del usuario. El sistema utiliza el SID del token de acceso para identificar al usuario en todas las interacciones posteriores con la seguridad de Windows. Una vez que se utiliza un SID como identificador único para un usuario o grupo, no se puede volver a usar para identificar a otro usuario o grupo. Para más información sobre los SID, consulte Identificadores de seguridad.

  • Nombre de cuenta [Type = UnicodeString]: nombre de la cuenta para la que se realizó el inicio de sesión.

  • Dominio de cuenta [Tipo = UnicodeString]: nombre de dominio o equipo del sujeto. Los formatos pueden variar e incluyen lo siguiente:

    • Ejemplo de nombre NETBIOS de dominio: CONTOSO

    • Nombre de dominio completo en minúsculas: contoso.local

    • Nombre de dominio completo en mayúsculas: CONTOSO.LOCAL

    • En el caso de algunas entidades de seguridad conocidas, como SERVICIO LOCAL o INICIO DE SESIÓN ANÓNIMO, el valor de este campo es "NT AUTHORITY".

    • En el caso de las cuentas de usuario locales, este campo contendrá el nombre del equipo o dispositivo al que pertenece esta cuenta, por ejemplo: "Win81".

  • Id. de inicio de sesión [Type = HexInt64]: valor hexadecimal que puede ayudarle a correlacionar este evento con eventos recientes que podrían contener el mismo identificador de inicio de sesión, por ejemplo, "4672(S): privilegios especiales asignados a un nuevo inicio de sesión".

  • Id. de inicio de sesión vinculado [versión 2] [Type = HexInt64]: valor hexadecimal de la sesión de inicio de sesión emparejada. Si no hay ninguna otra sesión de inicio de sesión asociada a esta sesión de inicio de sesión, el valor es "0x0".

  • Nombre de cuenta de red [versión 2] [Tipo = UnicodeString]: nombre de usuario que se usará para las conexiones salientes (red). Solo es válido para el tipo de inicio de sesión NewCredentials .

    Si no es el inicio de sesión de NewCredentials , será una cadena "-".

  • Dominio de cuenta de red [versión 2] [Tipo = UnicodeString]: dominio para el usuario que se usará para las conexiones salientes (red). Solo es válido para el tipo de inicio de sesión NewCredentials .

    Si no es el inicio de sesión de NewCredentials , será una cadena "-".

  • GUID de inicio de sesión [Tipo = GUID]: un GUID que puede ayudarle a correlacionar este evento con otro evento que puede contener el mismo GUID de inicio de sesión, "4769(S, F): se solicitó un evento de vale de servicio Kerberos en un controlador de dominio.

    También se puede usar para la correlación entre un evento 4624 y varios otros eventos (en el mismo equipo) que pueden contener el mismo GUID de inicio de sesión, "4648(S): se intentó un inicio de sesión con credenciales explícitas" y "4964(S): se han asignado grupos especiales a un nuevo inicio de sesión".

    Es posible que este parámetro no se capture en el evento y, en ese caso, aparezca como "{00000000-0000-0000-0000-000000000000}".

    Nota

    GUID es un acrónimo de "Identificador único global". Es un número entero de 128 bits que se usa para identificar recursos, actividades o instancias.

Información de proceso:

  • Identificador de proceso [Tipo = Puntero]: identificador de proceso hexadecimal del proceso que intentó el inicio de sesión. El Id. de proceso (PID) es un número que el sistema operativo utiliza para identificar de forma exclusiva un proceso activo. Para ver el PID de un proceso específico puede, por ejemplo, usar el Administrador de tareas (pestaña Detalles, columna PID):

    Task manager illustration

    Si convierte el valor hexadecimal en decimal, puede compararlo con los valores en el Administrador de tareas.

    Además, puede relacionar este Id. de proceso con un Id. de proceso en otros eventos, por ejemplo, "4688: Se ha creado un proceso nuevo" Process Information\New Process ID.

  • Nombre del proceso [Tipo = UnicodeString]: ruta de acceso completa y nombre del archivo ejecutable para el proceso.

Información de red:

  • Nombre de estación de trabajo [Tipo = UnicodeString]: nombre de equipo desde el que se realizó un intento de inicio de sesión.

  • Dirección de red de origen [Type = UnicodeString]: dirección IP de la máquina desde la que se realizó el intento de inicio de sesión.

    • Dirección IPv6 o dirección ::ffff:IPv4 de un cliente.

    • ::1 o 127.0.0.1 significa localhost.

  • Puerto de origen [Type = UnicodeString]: puerto de origen que se usó para el intento de inicio de sesión desde la máquina remota.

    • 0 para inicios de sesión interactivos.

Información detallada de autenticación:

  • Proceso de inicio de sesión [Tipo = UnicodeString]: nombre del proceso de inicio de sesión de confianza que se usó para el inicio de sesión. Vea el evento "4611: Se ha registrado un proceso de inicio de sesión de confianza con la autoridad de seguridad local" para obtener más información.

  • Paquete de autenticación [Tipo = UnicodeString]: nombre del paquete de autenticación que se usó para el proceso de autenticación de inicio de sesión. Los paquetes predeterminados cargados al iniciar LSA se encuentran en la clave del Registro "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig". Otros paquetes se pueden cargar en tiempo de ejecución. Cuando se carga un nuevo paquete, se registra un evento "4610: Un paquete de autenticación" (normalmente para NTLM) o "4622: Se ha cargado un paquete de seguridad mediante la entidad de seguridad local" (normalmente para Kerberos) para indicar que se ha cargado un nuevo paquete junto con el nombre del paquete. Los paquetes de autenticación más comunes son:

    • NTLM : autenticación de la familia NTLM

    • Kerberos : autenticación Kerberos.

    • Negociar : el paquete de seguridad Negotiate selecciona entre los protocolos Kerberos y NTLM. Negotiate selecciona Kerberos a menos que uno de los sistemas implicados en la autenticación no pueda usarlo o la aplicación que realiza la llamada no proporcione información suficiente para usar Kerberos.

  • Servicios transitados [Type = UnicodeString] [Solo Kerberos]: la lista de servicios transmitidos. Los servicios transmitidos se rellenan si el inicio de sesión fue el resultado de un proceso de inicio de sesión S4U (Servicio para el usuario). S4U es una extensión de Microsoft al protocolo Kerberos para permitir que un servicio de aplicación obtenga un vale de servicio Kerberos en nombre de un usuario, lo que normalmente realiza un sitio web front-end para acceder a un recurso interno en nombre de un usuario. Para obtener más información sobre S4U, consulte https://msdn.microsoft.com/library/cc246072.aspx

  • Nombre del paquete (solo NTLM) [Type = UnicodeString]: el nombre del subconsulta del Administrador de LAN (nombre del protocolo ntlm-family ) que se usó durante el inicio de sesión. Los valores posibles son:

    • "NTLM V1"

    • "NTLM V2"

    • "LM"

      Solo se rellena si "Paquete de autenticación" = "NTLM".

  • Longitud de clave [Type = UInt32]: la longitud de la clave de seguridad de sesión NTLM . Normalmente tiene una longitud de 128 bits o 56 bits. Este parámetro siempre es 0 si "Paquete de autenticación" = "Kerberos", porque no es aplicable para el protocolo Kerberos. Este campo también tendrá el valor "0" si Kerberos se negoció mediante el paquete de autenticación Negotiate .

Recomendaciones de supervisión de seguridad.

Para 4624(S): una cuenta ha iniciado sesión correctamente.

Tipo de supervisión necesaria Recomendación
Cuentas de gran valor: Es posible que tenga un dominio o cuentas locales de gran valor para las que necesita supervisar cada acción.
Algunos ejemplos de cuentas de gran valor son administradores de bases de datos, cuentas de administrador local integradas, administradores de dominio, cuentas de servicio, cuentas de controlador de dominio, etc.
Supervise este evento con el "Nuevo inicio de sesión\Id. de seguridad" que corresponde a la cuenta o cuentas de alto valor.
Anomalías o acciones malintencionadas: Es posible que tenga necesidades específicas a la hora de detectar anomalías o de supervisar posibles acciones malintencionadas. Por ejemplo, puede que necesite supervisar el uso de una cuenta fuera de horario laboral. Cuando supervise si hay anomalías o acciones malintencionadas, use el "Nuevo inicio de sesión\Id. de seguridad" (con otra información) para supervisar cómo o cuándo se usa una cuenta determinada.
Cuentas no activas: Puede que tenga cuentas no activas, deshabilitadas o de invitado, u otras cuentas que nunca deban usarse. Supervise este evento con el "Nuevo inicio de sesión\Id. de seguridad" que corresponde a las cuentas que nunca se deben usar.
Lista de cuentaspermitidas: es posible que tenga una lista de cuentas específica que sean las únicas permitidas para realizar acciones correspondientes a eventos concretos. Si este evento corresponde a una acción "allowlist-only", revise el "Nuevo inicio de sesión\Id. de seguridad" para las cuentas que están fuera de la lista de permitidos.
Cuentas de distintos tipos: Puede que quiera asegurarse de que algunas acciones solo se realicen con determinados tipos de cuenta, por ejemplo, una cuenta local o de dominio, una cuenta de equipo o de usuario, una cuenta de proveedor o de empleado, etc. Si este evento corresponde a una acción que desea supervisar para determinados tipos de cuenta, revise " Nuevo inicio de sesión\Id. de seguridad" para ver si el tipo de cuenta es el esperado.
Cuentas externas: Puede que esté supervisando las cuentas de otro dominio o cuentas "externas" que no pueden realizar determinadas acciones (representadas por determinados eventos específicos). Supervise este evento para ver el "Asunto\Dominio de cuenta" correspondiente a las cuentas de otro dominio o cuentas "externas".
Equipos o dispositivos de uso restringido: Es posible que tenga determinados equipos, máquinas o dispositivos en los que determinados usuarios (cuentas) no deban realizar ninguna acción por lo general. Supervise el equipo de destino: (u otro dispositivo de destino) para ver las acciones realizadas por el "Nuevo inicio de sesión\Id. de seguridad" que le preocupa.
Convenciones de nomenclatura de cuentas: Puede que su organización cuente con convenciones de nomenclatura específicas para los nombres de cuenta. Supervise "Subject\Account Name" en busca de nombres que no cumplan las convenciones de nomenclatura.
  • Dado que este evento se desencadena normalmente por la cuenta SYSTEM, se recomienda notificarlo siempre que "Subject\Security ID" no sea SYSTEM.

  • Si se debe usar el modo "Administración restringido" para los inicios de sesión de determinadas cuentas, use este evento para supervisar los inicios de sesión mediante "New Logon\Security ID" en relación con "Logon Type"=10 y "Restricted Administración Mode"="Yes". Si "Modo de Administración restringido"="No" para estas cuentas, desencadene una alerta.

  • Si necesita supervisar todos los eventos de inicio de sesión de cuentas con privilegios de administrador, supervise este evento con "Token elevado"="Sí".

  • Si necesita supervisar todos los eventos de inicio de sesión de cuentas de servicio administradas y cuentas de servicio administradas de grupo, supervise los eventos con "Cuenta virtual"="Sí".

  • Para supervisar la falta de coincidencia entre el tipo de inicio de sesión y la cuenta que lo usa (por ejemplo, si un miembro de un grupo administrativo de dominio usa el tipo de inicio de sesión 4-Batch o 5-Service), supervise El tipo de inicio de sesión en este evento.

  • Si su organización restringe los inicios de sesión de las siguientes maneras, puede usar este evento para supervisar en consecuencia:

    • Si la cuenta de usuario "New Logon\Security ID" nunca debe usarse para iniciar sesión desde el equipo específico: .

    • Si no se deben usar nuevas credenciales de inicio de sesión\Id . de seguridad desde nombre de estación de trabajo o dirección de red de origen.

    • Si una cuenta específica, como una cuenta de servicio, solo se debe usar desde la lista de direcciones IP internas (u otra lista de direcciones IP). En este caso, puede supervisar información de red\Dirección de red de origen y comparar la dirección de red con la lista de direcciones IP.

    • Si siempre se usa una versión determinada de NTLM en su organización. En este caso, puede usar este evento para supervisar el nombre del paquete (solo NTLM), por ejemplo, para buscar eventos en los que nombre del paquete (solo NTLM) no es igual a NTLM V2.

    • Si NTLM no se usa en su organización o no debe ser utilizado por una cuenta específica (Nuevo inicio de sesión\Id. de seguridad). En este caso, supervise todos los eventos en los que el paquete de autenticación es NTLM.

    • Si el paquete de autenticación es NTLM. En este caso, supervise la longitud de clave no igual a 128, ya que todos los sistemas operativos Windows a partir de Windows 2000 admiten longitud de clave de 128 bits.

  • Si supervisa software potencialmente malintencionado o software que no está autorizado para solicitar acciones de inicio de sesión, supervise este evento en Nombre de proceso.

  • Si tiene una lista de procesos de inicio de sesión de confianza, supervise un proceso de inicio de sesión que no pertenece a la lista.