Tipo de inicio de sesión 2: interactivo.

Un usuario inició sesión en esta

computadora.

Un evento con tipo de inicio de sesión = 2 ocurre cada vez que un usuario
inicia sesión (o intenta iniciar sesión) una computadora localmente, p. Ej.
escribiendo el nombre de usuario y la contraseña en el indicador de inicio
de sesión de Windows. Los eventos con tipo de inicio de sesión = 2 ocurren
cuando un usuario inicia sesión con una cuenta local o de dominio. Sin
embargo, si un usuario inicia sesión con una cuenta de dominio, este tipo
de inicio de sesión aparecerá solo cuando un usuario realmente se
autentique en el dominio (por un controlador de dominio). En caso de que el
controlador de dominio no esté disponible, pero el usuario proporcionó
credenciales de dominio válidas almacenadas en caché en la PC local,
Windows registrará un evento con el tipo de inicio de sesión = 11.

Tipo de inicio de sesión 3: Red. Un usuario o computadora inició sesión en

esta computadora desde la red.

La descripción de este tipo de inicio de sesión indica claramente que el

evento se registra cuando alguien accede a una computadora desde la red.
Suele aparecer cuando se conecta a recursos compartidos (carpetas
compartidas, impresoras, etc.). Como aprendimos en la publicación anterior,
la conexión con el tipo de inicio de sesión = 3 podría establecerse incluso
desde una computadora local.

Tipo de inicio de sesión 4: Lote. El tipo de inicio de sesión por lotes lo

utilizan los servidores por lotes, donde los procesos pueden ejecutarse en
nombre de un usuario sin su intervención directa.

Este tipo de evento aparece cuando una tarea programada está a punto de
iniciarse. P.ej. Si usa el Programador de tareas de Windows y es hora de
iniciar una tarea, Windows puede crear una nueva sesión de inicio de sesión
para ejecutar esta tarea y registrar eventos de inicio de sesión (4648,
4624/4625). Si una tarea está programada para ejecutarse solo cuando un
usuario "designado" ha iniciado sesión, no se abrirá una nueva sesión de
inicio de sesión y no se registrarán los eventos de inicio de sesión.

Tipo de inicio de sesión 5: Servicio. El administrador de control de

servicios inició un servicio.

Cuando Windows inicia un servicio que está configurado para iniciar sesión
como usuario, Windows creará una nueva sesión de inicio de sesión para este
servicio. Esto sucede solo si el servicio utiliza una cuenta de usuario
"común". Si usa cuentas especiales, p. Ej. "Sistema local", "NT AUTHORITY \
LocalService" o "NT AUTHORITY \ NetworkService", Windows no creará nuevas
sesiones de inicio de sesión. La sesión de inicio de sesión abierta se
cerrará cuando se detenga el servicio y se registrará un evento de cierre
de sesión (4634).
Tenga en cuenta que la descripción del evento no contiene ninguna
información sobre el nombre del servicio, la información del proceso
enumera solo el nombre del administrador de control del servicio
(services.exe). Cuando el evento de inicio de sesión de Audit Failure
(4625) se registra con el tipo de inicio de sesión = 5, esto normalmente
significa que el usuario "designado" ha cambiado la contraseña y debe
actualizar los detalles de inicio de sesión del servicio.
Tipo de inicio de sesión 7: Desbloquear. Esta estación de trabajo estaba
desbloqueada.

Un evento con tipo de inicio de sesión = 7 ocurre cuando un usuario

desbloquea (o intenta desbloquear) una estación de trabajo previamente
bloqueada. Tenga en cuenta que cuando un usuario desbloquea la computadora,
Windows crea una nueva sesión de inicio de sesión (o 2 sesiones de inicio
de sesión según las condiciones de elevación) y la cierra inmediatamente
(con el evento 4634). Cuando cambia entre cuentas de usuario que han
iniciado sesión con la función Cambio rápido de usuario, puede pensar que
dicho cambio genera el evento 4624 con tipo de inicio de sesión = 7 porque
parece que bloquea y desbloquea la estación de trabajo. Sin embargo,
Windows genera eventos 4624 con tipo de inicio de sesión = 2 (interactivo).
Cuando el evento de inicio de sesión de Audit Failure (4625) se registra
con el tipo de inicio de sesión = 7, esto comúnmente significa que cometió
un error tipográfico al ingresar la contraseña o que alguien está tratando
de ingresar a la computadora.

Esto ejecutará Event Log Explorer incluso si proporcionó una contraseña

incorrecta. Esto sucede porque utiliza credenciales actuales clonadas para
ejecutar el programa (se abrirá una nueva sesión de inicio de sesión). Y el
evento de inicio de sesión 4624 se registrará con el tipo de inicio de
sesión = 9 (el evento de cierre de sesión se registrará cuando salga de la
aplicación). Pero, ¿qué pasa con SERVER? El servidor registrará 4624 o 4625
eventos en el registro de seguridad con el tipo de inicio de sesión = 3,
pero solo cuando la aplicación de la computadora de TRABAJO intente acceder
a un recurso compartido en el servidor, p. Ej. Event Log Explorer intentará
abrir un archivo de recursos con descripciones de eventos.

Tipo de inicio de sesión 10: RemoteInteractive. Un usuario inició sesión en

esta computadora de forma remota mediante Terminal Services o Remote
Desktop.

Este tipo de inicio de sesión es similar a 2 (interactivo) pero un usuario

conecta la computadora desde una máquina remota a través de RDP (usando
Escritorio remoto, Servicios de Terminal Server o Asistencia remota).

Tipo de inicio de sesión 11: CachedInteractive. Un usuario inició sesión en

esta computadora con credenciales de red que se almacenaron localmente en
la computadora. No se contactó con el controlador de dominio para verificar
las credenciales.

Cuando los usuarios inician sesión en un dominio, Windows almacena en caché

las credenciales de los usuarios localmente para que puedan iniciar sesión
más tarde, incluso si un servidor de inicio de sesión (controlador de
dominio) no está disponible. De forma predeterminada, Windows almacena en
caché 10 o 25 últimas credenciales de inicio de sesión (depende del sistema
operativo y se puede aumentar hasta 50). Cuando un usuario intenta iniciar
sesión con una cuenta de dominio mientras DC no está disponible, Windows
verifica las credenciales del usuario con estos hash almacenados y registra
los eventos de seguridad 4624 o 4625 con el tipo de inicio de sesión = 11.
Logon type 3: Network. A user or computer logged on to this computer from the network.

The description of this logon type clearly states that the event logged when somebody accesses a
computer from the network. Commonly it appears when connecting to shared resources (shared
folders, printers etc.). As we learned in the previous post, the connection with logon type = 3 could
be established even from a local computer.

Logon type 4: Batch. Batch logon type is used by batch servers, where processes may be executing
on behalf of a user without their direct intervention.

This event type appears when a scheduled task is about to be started. E.g. if you use Windows Task
Scheduler and it’s time to start a task, Windows may create a new logon session to execute this task
and register logon events (4648, 4624/4625). If a task is scheduled to run only when a “designated”
user is logged on, a new logon session won’t be opened and logon events won’t be logged.

Logon type 5: Service. A service was started by the Service Control Manager.

When Windows starts a service which is configured to log on as a user, Windows will create a new
logon session for this service. This happens only if the service uses a “common” user account. If it
uses special accounts, e.g. “Local System”, “NT AUTHORITY\LocalService” or “NT AUTHORITY\
NetworkService”, Windows won’t create new logon sessions. The opened logon session will be
closed when the service stops and a logoff event (4634) will be registered.

Note that event description doesn’t contain any information about the service name, process
information lists only name of the service control manager (services.exe). When Audit Failure logon
event (4625) is registered with logon type = 5, this commonly means that the “designated” user has
changed password, and you should update service logon details.

Logon type 7: Unlock. This workstation was unlocked.

An event with logon type = 7 occurs when a user unlocks (or attempts to unlock) a previously locked
workstation. Note that when a user unlocks computer, Windows creates a new logon session (or 2
logon sessions depending on the elevation conditions) and immediately closes it (with event 4634).
When you are switching between logged on user accounts with Fast User Switching feature, you may
think that such switching generates event 4624 with logon type = 7 because it looks like you lock and
unlock workstation. However Windows generates events 4624 with logon type = 2 (interactive).
When Audit Failure logon event (4625) is registered with logon type = 7, this commonly means that
either you made a typo when entering the password, or someone is trying to break into the
computer.
Logon type 8: NetworkCleartext. A user logged on to this computer from the network. The user’s
password was passed to the authentication package in its unhashed form. The built-in
authentication packages all hash credentials before sending them across the network. The
credentials do not traverse the network in plaintext (also called cleartext).

I believe that you should never see logon events with logon type = 8. This event is generated when a
password comes from the net as a clear text. Such events may occur when a user logs on IIS
(Internet Information Services) with basic access authentication method. Transferring passwords in
plaintext format is dangerous because the passwords could be sniffed and revealed. So if basic
authentication is the only option for you, you should protect your network connection (using
encryption protocols like SSL/TLS, creating virtual private network etc.).

Logon type 9: NewCredentials. A caller cloned its current token and specified new credentials for
outbound connections. The new logon session has the same local identity, but uses different
credentials for other network connections.

This event occurs when using RunAs command with /netonly option. Let’s say you need to run a
program, but grant it extra permissions for network computers. E.g. you may want to run Event Log
Explorer and give it additional permissions for a specific computer or a domain (this may be helpful
e.g. if you want to use a specific computer as a description server in Event Log Explorer, but your
current permissions is not enough to access admin resources from this server). In this case you can
run Event Log Explorer normally (using your current credentials), but specify special credentials for
network connections. Let’s say your computer name is “WORK” and the description server name is
“SERVER”. On WORK computer you type: