Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Компьютеры и программы

Как определить, почему в журнале безопасности Windows возникает событие с ID 4624 и что происходит на моем компьютере?

На чтение 4 мин Просмотров 2 Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Как определить причины возникновения событий журнала безопасности Windows с ID 4624 и что происходит на вашем компьютере?
  4. Описание события 4624
  5. Как выяснить, что делает ваш IT-специалист?
  6. Заключение

Вопрос или проблема

Я работаю в небольшой компании, где есть IT-специалист, который настоящий горячий голова и думает, что он Бог. В последнее время я заметил, что в моем журнале безопасности Windows появляются множество событий с ID 4624 (успешный вход в систему) с его именем пользователя. Судя по всему, это не какая-то запланированная задача, так как они происходят случайным образом в течение дня. Я вижу 10-20 таких событий входа в систему с именем пользователя IT-специалиста в день.

Что могут значить эти события входа в систему?

Если он “секретно” входит в мою систему, как я могу выяснить, что он делает?

Вот небольшой фрагмент текста события:

Имя журнала:      Безопасность
Источник:        Microsoft-Windows-Security-Auditing
Дата:          14.05.2019 08:17:04
ID события:      4624
Категория задач: Вход в систему
Уровень:         Информация
Ключевые слова:   Успешный аудит
Пользователь:       Н/Д

Описание:
Учетная запись была успешно использована для входа в систему.

Субъект:
    Идентификатор безопасности:        NULL SID
    Имя учетной записи:       -
    Домен учетной записи:     -
    Идентификатор входа:       0x0

Информация о входе:
    Тип входа:     3
    Ограниченный режим администратора:  -
    Виртуальная учетная запись:        Нет
    Повышенный токен:     Нет

Новый вход:
    Идентификатор безопасности:        домен\ITguyuser
    Имя учетной записи:       ITguyuser
    Домен учетной записи:     домен

Судя по этому ресурсу, похоже, что IT-специалист получает доступ к некоторой общей папке/файлам на вашем компьютере.

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4624

Тип входа не указывает на то, что у них есть интерактивная сессия (т.е. удаленный доступ и наблюдение за тем, что вы делаете)

Ответ или решение

Как определить причины возникновения событий журнала безопасности Windows с ID 4624 и что происходит на вашем компьютере?

Вам следует обратить внимание на события с ID 4624 в журнале безопасности Windows, так как они свидетельствуют о успешных входах в систему. Давайте рассмотрим вашу ситуацию более подробно и выясним, что может стоять за этими событиями.

Описание события 4624

Согласно вашему описанию, события с ID 4624 содержат следующую информацию:

  • Тип входа: 3 (это означает, что подключение происходит через сеть)
  • Имя пользователя: ITguyuser (имя вашего IT-специалиста)
  • Состояние сессии: нет интерактивной записи (что подразумевает, что он не подключался непосредственно к вашему устройству, а осуществлял доступ к ресурсам в сети)

Данное событие может быть связано с доступом к общим папкам, файлам или другим ресурсам на вашем компьютере. Поскольку входы происходят случайно в течение дня, это поддерживает гипотезу о доступе к системным ресурсам, необходимым для работы или обслуживания.

Как выяснить, что делает ваш IT-специалист?

Если вы подозреваете, что ваш IT-специалист может «тайно» подключаться к вашему компьютеру, стоит рассмотреть несколько шагов для выяснения того, что происходит:

  1. Проверка других событий: Проанализируйте другие события в журнале безопасности Windows. Ищите события, связанные с ID 4663, которые сообщают о доступе к объектам, и ID 4672, говорящие об использовании привилегированных учетных записей.

  2. Использование PowerShell: С помощью PowerShell можно собрать всю информацию о входах. Для начала выполните следующую команду:

    Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4624} | Select-Object TimeCreated, @{Name='UserName'; Expression={[System.Security.Principal.SecurityIdentity]::new($_.Properties[5].Value).Value}}, @{Name='LogonType'; Expression={$_.Properties[8].Value}} | Sort-Object TimeCreated -Descending

    Это позволит увидеть, когда и кем были выполнены входы.

  3. Мониторинг процессов: Следите за запущенными процессами на вашем компьютере. Утилиты, такие как Process Explorer, могут помочь вам увидеть, какие программы запущены и от каких учетных записей они были инициированы.

  4. Управление правами доступа: Вы можете проверить, какие разрешения предоставляет учетная запись вашего IT-специалиста. Изучите настройки безопасности общих папок и файлов, чтобы убедиться, что он не имеет доступа к ним без вашего ведома.

  5. Обсуждение с IT-специалистом: Чтобы развеять подозрения, можно открыто обсудить с вашим IT-специалистом его действия. Возможно, его время от времени необходим доступ и он использует его для выполнения задач поддержки.

Заключение

Итак, события с ID 4624 могут быть связаны с легитимным доступом к вашему компьютеру для поддержки или администрирования. Если у вас есть обоснованные подозрения, важно принять меры, чтобы выяснить характер этих входов. Используйте комбинацию анализа журналов, мониторинга процессов и общения с IT-специалистом, чтобы в конечном итоге получить четкую картину.

Если вам нужны дополнительные инструкции для устранения сомнений или понимания, не стесняйтесь обращаться за помощью к квалифицированному специалисту.

windows
Оцените материал
Добавить комментарий

Капча загружается...

© 2025 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности