Logon und Logoff im Detail
Windows-Praxis: An- und Abmeldung erkennen und überwachen
Verwirrung mit System: die Ereignis-IDs
Bei der Arbeit mit einer lokalen Workstation finden Authentifizierung und Anmeldung natürlich auf dem gleichen Windows-System statt. Deshalb tauchen auf diesen Systemen auch zwei Ereignisse auf: ein Logon/Logoff-Event (4624/ 528) und ein sogenannter Account-Logon-Event (4776/ 680).
Leider kommt für die Ereignis-IDs auf Systemen ab der Generation Windows Server 2008 (und damit auch auf den Client-Systemen ab Windows Vista) ein anderes System bei der Nummerierung zum Einsatz, als es bei den Windows-Versionen XP und Windows Server 2003 der Fall war: So ist beispielsweise ein Logon/Logoff-Ereignis auf den Servern unter Windows 2000 und Windows 2003 noch mit der ID 528 in das Sicherheitsprotoll eingetragen, während die neuen Windows-Systeme ab Windows Server 2008 dafür die ID 4624 vermerken.
Glücklicherweise hat Microsoft dieses System mit den ganz aktuellen Releases Windows Server 2012 und Windows nicht noch einmal überarbeitet, sodass wir hier für jede Ereignis-ID zwei Werte angeben: aktuell (ab Windows Server 2008/Windows Vista) und die ältere Version für die Windows-Systeme dafür. Wer eine umfassendere Übersicht über die Security-Audit -vents ab Windows Server 2008 R2/Windows 7 benötigt, kann sich eine Excel-Tabelle mit einer entsprechenden Auflistung in englischer Sprache bei Microsoft herunterladen. Dort finden sich dann auch alle Account-Logon- sowie Logon/Logoff-Events aufgelistet.
Wenn ein PC gleichzeitig Mitglied einer Domäne ist, kann bei der Anmeldung eine Entscheidung getroffen werden: Der Computer kann mittels eines lokalen Kontos, wie zuvor beschrieben, oder mit einem Domäne-Konto am Server angemeldet werden. Zudem ist es möglich, den Rechner an jeder anderen Domäne anzumelden, der die eigene Domäne vertraut. Was ändert sich dabei im Vergleich zum "normalen" Anmelden an einem Windows-Rechner? Wenn der Anwender sich für die Anmeldung mittels eines Domänen-Kontos entscheidet, ist das lokale Windows-System nicht mehr in der Lage, die Authentifizierung durchzuführen - es besitzt schließlich keinen weiteren Zugriff auf die benötigten Daten als auf die Hash-Werte von Benutzerdaten und Passwort.