返回信息流RT,上午在玩手机,电脑一直在睡眠,没有启动,结果玩着半中间突然提示我微信电脑版登陆了,我以为别人把我电脑打开了,没当回事;结果来开电脑的时候,发现屏幕是亮着的,但是没有登陆;然后点击登陆输完密码,居然提示我类似什么什么退出(具体内容忘记了)的话,感觉像是之前被远程登录来着;然后我又重新输密码登陆了一遍才登陆进来。然后很好奇,就看了下事件查看器里的安全,发现好多特殊登陆,登陆之类的事件:该不会有什么安全问题吧。。。。描述如下
日志名称: Security
来源: Microsoft-Windows-Security-Auditing
日期: 2018/3/14 10:37:37
事件 ID: 4672
任务类别: 特殊登录
级别: 信息
关键字: 审核成功
用户: 暂缺
计算机: DESKTOP-7N9GTAG
描述:
为新登录分配了特殊权限。
使用者:
安全 ID: SYSTEM
帐户名: SYSTEM
帐户域: NT AUTHORITY
登录 ID: 0x3E7
特权: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4672</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12548</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2018-03-14T02:37:37.867811900Z" />
<EventRecordID>28363</EventRecordID>
<Correlation ActivityID="{C955FF3C-B74C-0000-5400-56C94CB7D301}" />
<Execution ProcessID="868" ThreadID="16728" />
<Channel>Security</Channel>
<Computer>DESKTOP-7N9GTAG</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">SYSTEM</Data>
<Data Name="SubjectDomainName">NT AUTHORITY</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="PrivilegeList">SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege</Data>
</EventData>
</Event>
------------------------------------------------------------------------------------
日志名称: Security
来源: Microsoft-Windows-Security-Auditing
日期: 2018/3/14 10:37:37
事件 ID: 4624
任务类别: 登录
级别: 信息
关键字: 审核成功
用户: 暂缺
计算机: DESKTOP-7N9GTAG
描述:
已成功登录帐户。
使用者:
安全 ID: SYSTEM
帐户名称: DESKTOP-7N9GTAG$
帐户域: WORKGROUP
登录 ID: 0x3E7
登录信息:
登录类型: 5
受限制的管理员模式: -
虚拟帐户: 否
提升的令牌: 是
模拟级别: 模拟
新登录:
安全 ID: SYSTEM
帐户名称: SYSTEM
帐户域: NT AUTHORITY
登录 ID: 0x3E7
链接的登录 ID: 0x0
网络帐户名称: -
网络帐户域: -
登录 GUID: {00000000-0000-0000-0000-000000000000}
进程信息:
进程 ID: 0x35c
进程名称: C:\Windows\System32\services.exe
网络信息:
工作站名称: -
源网络地址: -
源端口: -
详细的身份验证信息:
登录进程: Advapi
身份验证数据包: Negotiate
传递的服务: -
数据包名(仅限 NTLM): -
密钥长度: 0
创建登录会话时,将在被访问的计算机上生成此事件。
“使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。
“登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。
“新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。
“网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。
“模拟级别”字段指示登录会话中的进程可以模拟到的程度。
“身份验证信息”字段提供有关此特定登录请求的详细信息。
- “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。
-“传递的服务”指示哪些中间服务参与了此登录请求。
-“数据包名”指示在 NTLM 协议中使用了哪些子协议。
-“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4624</EventID>
<Version>2</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2018-03-14T02:37:37.867805600Z" />
<EventRecordID>28362</EventRecordID>
<Correlation ActivityID="{C955FF3C-B74C-0000-5400-56C94CB7D301}" />
<Execution ProcessID="868" ThreadID="16728" />
<Channel>Security</Channel>
<Computer>DESKTOP-7N9GTAG</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">DESKTOP-7N9GTAG$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="TargetUserSid">S-1-5-18</Data>
<Data Name="TargetUserName">SYSTEM</Data>
<Data Name="TargetDomainName">NT AUTHORITY</Data>
<Data Name="TargetLogonId">0x3e7</Data>
<Data Name="LogonType">5</Data>
<Data Name="LogonProcessName">Advapi </Data>
<Data Name="AuthenticationPackageName">Negotiate</Data>
<Data Name="WorkstationName">-</Data>
<Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x35c</Data>
<Data Name="ProcessName">C:\Windows\System32\services.exe</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
<Data Name="ImpersonationLevel">%%1833</Data>
<Data Name="RestrictedAdminMode">-</Data>
<Data Name="TargetOutboundUserName">-</Data>
<Data Name="TargetOutboundDomainName">-</Data>
<Data Name="VirtualAccount">%%1843</Data>
<Data Name="TargetLinkedLogonId">0x0</Data>
<Data Name="ElevatedToken">%%1842</Data>
</EventData>
</Event>
这是一条镜像帖。来源:北邮人论坛 / security / #43164同步于 2018/3/14
Security机器人发帖
【问题】win10 来自Microsoft Windows security的特殊登陆
ddcckkk
2018/3/14镜像同步0 回复
订阅后,新回复会通过你的通知中心匿名送达。
0 条回复
暂无回复 · 你可以订阅本帖等待新回复。