Logon und Logoff im Detail

Windows-Praxis: An- und Abmeldung erkennen und überwachen

Verwirrung mit System: die Ereignis-IDs

Bei der Arbeit mit einer lokalen Workstation finden Authentifizierung und Anmeldung natürlich auf dem gleichen Windows-System statt. Deshalb tauchen auf diesen Systemen auch zwei Ereignisse auf: ein Logon/Logoff-Event (4624/ 528) und ein sogenannter Account-Logon-Event (4776/ 680).

Standardanmeldung an einem Windows-System (hier: einem Windows Server 2008 R2): Im Ereignisprotokoll wird im Bereich Sicherheit ein Ereignis mit der ID 4624 angelegt.
Standardanmeldung an einem Windows-System (hier: einem Windows Server 2008 R2): Im Ereignisprotokoll wird im Bereich Sicherheit ein Ereignis mit der ID 4624 angelegt.

Leider kommt für die Ereignis-IDs auf Systemen ab der Generation Windows Server 2008 (und damit auch auf den Client-Systemen ab Windows Vista) ein anderes System bei der Nummerierung zum Einsatz, als es bei den Windows-Versionen XP und Windows Server 2003 der Fall war: So ist beispielsweise ein Logon/Logoff-Ereignis auf den Servern unter Windows 2000 und Windows 2003 noch mit der ID 528 in das Sicherheitsprotoll eingetragen, während die neuen Windows-Systeme ab Windows Server 2008 dafür die ID 4624 vermerken.

Glücklicherweise hat Microsoft dieses System mit den ganz aktuellen Releases Windows Server 2012 und Windows nicht noch einmal überarbeitet, sodass wir hier für jede Ereignis-ID zwei Werte angeben: aktuell (ab Windows Server 2008/Windows Vista) und die ältere Version für die Windows-Systeme dafür. Wer eine umfassendere Übersicht über die Security-Audit -vents ab Windows Server 2008 R2/Windows 7 benötigt, kann sich eine Excel-Tabelle mit einer entsprechenden Auflistung in englischer Sprache bei Microsoft herunterladen. Dort finden sich dann auch alle Account-Logon- sowie Logon/Logoff-Events aufgelistet.

An der Ereignis-ID (4624) ist nur zu erkennen, dass sich diese Workstation erfolgreich authentifiziert hat: Erst ein Blick "in das Ereignis" zeigt dem Administrator dann, an welcher Domäne (hier: "Firma") sich der PC authentifiziert hat.
An der Ereignis-ID (4624) ist nur zu erkennen, dass sich diese Workstation erfolgreich authentifiziert hat: Erst ein Blick "in das Ereignis" zeigt dem Administrator dann, an welcher Domäne (hier: "Firma") sich der PC authentifiziert hat.

Wenn ein PC gleichzeitig Mitglied einer Domäne ist, kann bei der Anmeldung eine Entscheidung getroffen werden: Der Computer kann mittels eines lokalen Kontos, wie zuvor beschrieben, oder mit einem Domäne-Konto am Server angemeldet werden. Zudem ist es möglich, den Rechner an jeder anderen Domäne anzumelden, der die eigene Domäne vertraut. Was ändert sich dabei im Vergleich zum "normalen" Anmelden an einem Windows-Rechner? Wenn der Anwender sich für die Anmeldung mittels eines Domänen-Kontos entscheidet, ist das lokale Windows-System nicht mehr in der Lage, die Authentifizierung durchzuführen - es besitzt schließlich keinen weiteren Zugriff auf die benötigten Daten als auf die Hash-Werte von Benutzerdaten und Passwort.