Kleiner Tipp für Administratoren von Windows-Systemen, die forensische Analysen im Hinblick auf Anmeldevorgänge betreiben. Windows Ereignisse mit der Event ID 4624 weisen einen numerischen Code auf, der Hinweise auf den Typ der Anmeldung (oder des Anmeldeversuchs) liefert.
Anzeige
Microsoft Mitarbeiterin Jessica Payne arbeite im Sicherheitsteam für den Defender mit. Auf Twitter erklärt sie in kurzen Tweets die Bedeutung diverser Codes.
Logon type 10: this is a typical RDP alert meaning that terminal services was engaged for the logon. 3rd party software like virtualization consoles and screen share can also generate it. Means credentials were in memory (lsass) and also hit cached credentials.
— Jessica Payne (@jepayneMSFT) 29. Juni 2018
Einfach auf den Tweet klicken, dann sollte der gesamte Thread angezeigt werden. Vielleicht ist dies für euch nützlich.