Différence entre les événements Windows 4801 et 4624

1

(Pour l’arrière-plan, voir: Sous Windows 7, Comment interroger des heures, lorsque l’ordinateur était verrouillé? )

Il semble que deux événements entièrement distincts puissent être générés dans le journal des événements de Windows lorsqu'un ordinateur est verrouillé / déverrouillé:

  • 4800 et 4801 - requièrent un paramètre de stratégie de groupe pour les activer
  • 4624 et 4634 (avec le type de connexion défini sur 7) - toujours activé (?)

Je présume que ces événements ne sont pas des doublons exacts, donc il y a probablement une subtile différence sémantique entre eux que j'ai manquée. Quelle est cette différence? Quelles situations (autres que la journalisation étant désactivée) peuvent entraîner la journalisation de l'une sans l'autre?

windows event-log Jules
la source

Réponses:

2

Quelle est la différence entre les événements Windows 4801 et 4624?

  • L'ID d'événement 4624 est généré lorsqu'un compte s'est connecté avec succès.
  • L'ID d'événement 4801 est généré lorsque le poste de travail est déverrouillé.
  • Vous obtenez ces deux événements lorsqu'un utilisateur déverrouille le poste de travail.

Si un utilisateur verrouille le poste de travail puis le déverrouille immédiatement, les événements suivants sont consignés (lus de bas en haut dans l'image):

entrez la description de l'image ici

  • 4800 Le poste de travail était verrouillé
  • 4648 Une connexion a été tentée à l'aide d'informations d'identification explicites.
  • 4624 Un compte a été connecté avec succès
  • 4672 Privilèges spéciaux attribués à une nouvelle connexion
  • 4801 Le poste de travail a été déverrouillé

4801: le poste de travail a été déverrouillé

  • Lorsqu'un utilisateur déverrouille son poste de travail, vous verrez cet événement.

  • Pour savoir quand le poste de travail a déjà été verrouillé, jetez un coup d'œil en arrière sur l'événement 4800.

  • Si un écran de veille est utilisé, il existe également une relation entre cet événement et 4802 (écran de veille invoqué) et 4803 (écran de veille désactivé).

  • Pour les ouvertures de session interactives, vous pouvez voir cet événement ou 4803.

Source 4801: le poste de travail a été déverrouillé

4624: Un compte a été connecté avec succès

  • Il s'agit d'un événement extrêmement précieux, car il documente chaque tentative réussie d'ouverture de session sur l'ordinateur local, quel que soit le type d'ouverture de session, l'emplacement de l'utilisateur ou le type de compte.
  • Vous pouvez associer cet événement aux événements de fermeture de session 4634 et 4647 à l'aide de l'ID de connexion.

Source 4624: Un compte a été connecté avec succès

Lectures complémentaires

DavidPostill
la source