События входа в систему, которые происходят во время вашего отсутствия, не обязательно являются вредоносными
Для системы совершенно нормально испытывать события входа в систему, несмотря на отсутствие вторжения. Вам даже не нужны никакие сторонние программы, установленные для этого; Сама Windows будет генерировать события входа в систему.
Например, Windows поставляется из коробки с различными задачами, запланированными в планировщике задач. Когда выполняется одна из этих задач, она должна запускаться в контексте учетной записи пользователя, даже если это что-то вроде встроенной SYSTEM
учетной записи. Это создает событие входа в систему и записывается в журнал событий безопасности с идентификатором 4624.
Как определить нежелательные входы
Если вы подозреваете нежелательное использование вашего компьютера, то вам нужно более внимательно посмотреть на сами события. В частности, вы должны проверить Logon Type
поле, которое отличает, как вошел в учетную запись. Возможные типы:
Type / Description 2 Interactive (logon at keyboard and screen of system) 3 Network (i.e. connection to shared folder on this computer from elsewhere on network) 4 Batch (i.e. scheduled task) 5 Service (Service startup) 7 Unlock (i.e. unnattended workstation with password protected screen saver) 8 NetworkCleartext (Logon with credentials sent in the clear text. Most often indicates a logon to IIS with "basic authentication") See this article for more information. 9 NewCredentials such as with RunAs or mapping a network drive with alternate credentials. This logon type does not seem to show up in any events. If you want to track users attempting to logon with alternate credentials see 4648. 10 RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance) 11 CachedInteractive (logon with cached domain credentials such as when logging on to a laptop when away from the network)
Типы входа, наиболее подходящие для того, кто получил интерактивный / удаленный доступ: 2, 7, 10 и 11 .
Для любых подозрительных событий входа в систему, наблюдать Account Name
и Account Domain
поля, как они, как правило, определить имя пользователя, вошедшего в систему .
Если ваша система уже была взломана, то могут происходить нежелательные входы в систему. Однако, если такие входы в систему предпринимаются, но не выполняются, их можно проверить, просмотрев идентификатор события 4625 в журнале безопасности, который указывает на предпринятое, но неудачное событие входа . Тип входа в систему и другие поля, описанные выше, также применимы к этим событиям. (Обратите внимание, что ваша система должна быть настроена на запись этих событий до того, как они будут записаны в окне просмотра событий.)