Eventos de logon que acontecem enquanto você está ausente não são necessariamente maliciosos
É perfeitamente normal que um sistema experimente eventos de logon, mesmo sem invasões. Você nem precisa de nenhum programa de terceiros instalado para que isso ocorra; O próprio Windows gerará eventos de logon.
Por exemplo, o Windows vem configurado com várias tarefas agendadas no Agendador de Tarefas. Quando uma dessas tarefas é executada, ela deve ser iniciada no contexto de uma conta de usuário, mesmo que seja algo como a conta SYSTEM
incorporada. Isso gera um evento de logon e é registrado no log de eventos de segurança com a identificação de evento 4624.
Como identificar logons indesejados
Se você suspeitar de uso indesejado de seu computador, precisará examinar mais de perto os eventos em si. Especificamente, você deve inspecionar o campo Logon Type
que distingue como a conta foi conectada. Os tipos possíveis são:
Type / Description
2 Interactive (logon at keyboard and screen of system)
3 Network (i.e. connection to shared folder on this computer from elsewhere on network)
4 Batch (i.e. scheduled task)
5 Service (Service startup)
7 Unlock (i.e. unnattended workstation with password protected screen saver)
8 NetworkCleartext (Logon with credentials sent in the clear text. Most often indicates a logon to IIS with "basic authentication") See this article for more information.
9 NewCredentials such as with RunAs or mapping a network drive with alternate credentials. This logon type does not seem to show up in any events. If you want to track users attempting to logon with alternate credentials see 4648.
10 RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance)
11 CachedInteractive (logon with cached domain credentials such as when logging on to a laptop when away from the network)
Os tipos de login mais sugestivos de alguém que ganhou acesso interativo / remoto são 2 , 7 , 10 e 11 .
Para qualquer evento de logon suspeito, observe os campos Account Name
e Account Domain
, pois geralmente eles identificam o nome do usuário que efetuou login.
Se o seu sistema já tiver sido comprometido, poderão ocorrer logons indesejados. No entanto, se esses logons estiverem sendo tentados, mas estiverem em falha, eles poderão ser inspecionados revisando o ID de evento 4625 no log de segurança, que indica um evento de logon com tentativa, mas com falha . O tipo de logon e outros campos discutidos acima também se aplicam a esses eventos. (Observe que seu sistema deve ser configurado para registrar esses eventos antes que eles sejam capturados no Visualizador de Eventos).