4
4673 - svchost.exe failt wegen SeTcbPrivilege
Hallo,
ich betreue diverse Windows-Clients und Server und überwache die Eventlogs.
Ich bekomme jeden Tag zig Millionen Events mit der EventID 4673 von nahezu allen Devices. Fast alle werden vom Prozess svchost.exe ausgelöst, die laut Logs durch den lokalen Administrator ausgeführt werden.
Die Windows-Ereignisanzeige gibt mir folgende Infos:
(Einige Angaben geschwärzt)
Ich habe bereits stundenlang Tasks in den Aufgabenplanungen durchgesehen, finde aber keine Hinweise darauf, was diese Events auslösen könnte. In der Regel triggern die Events alle 6, 8 oder 12 Stunden von nahezu allen Geräten. Da das Ausführen verhindert wird, mache ich mir wenig Sorgen. Allerdings möchte ich die Flut an Events reduzieren.
Ich habe auch schon einige Stunden damit verbracht, den Events hinterherzugooglen und habe festgestellt, dass ich bei weitem nicht der Einzige mit diesen Events bin. Zahlreiche Forenbeiträge verlaufen ins Leere.
Es ist immer die Berechtigung SeTcbPrivilege, die dem lokalen Administrator "fehlt". Laut der Windows Learn Plattform besagt diese:
Ich will dem lokalen Admin natürlich nicht einfach irgendwelche Berechtigungen geben, damit die Events aufhören. Ich bin an einer sinnvollen Lösung interessiert, die mich im idealfall auch verstehen lässt, warum dieses Problem existiert.
Gibt es eine Möglichkeit herauszufinden, was diese Events auslöst? Oder was ich tun kann, damit diese Events nicht mehr ausgelöst werden.
ich betreue diverse Windows-Clients und Server und überwache die Eventlogs.
Ich bekomme jeden Tag zig Millionen Events mit der EventID 4673 von nahezu allen Devices. Fast alle werden vom Prozess svchost.exe ausgelöst, die laut Logs durch den lokalen Administrator ausgeführt werden.
Die Windows-Ereignisanzeige gibt mir folgende Infos:
"Ein privilegierter Dienst wurde aufgerufen.
Antragsteller:
Sicherheits-ID: S-X-X-XX-XXXXXXX7755-1529XXXX72-7XXXX0398-XXX
Kontoname: Administrator
Kontodomäne: XXXXXX
Anmelde-ID: 0x000X604D
Dienst:
Server: Security
Dienstname: -
Prozess:
Prozess-ID: 0x59c
Prozessname: C:\Windows\System32\svchost.exe
Dienstanforderungsinformationen:
Berechtigungen: SeTcbPrivilege" (Einige Angaben geschwärzt)
Ich habe bereits stundenlang Tasks in den Aufgabenplanungen durchgesehen, finde aber keine Hinweise darauf, was diese Events auslösen könnte. In der Regel triggern die Events alle 6, 8 oder 12 Stunden von nahezu allen Geräten. Da das Ausführen verhindert wird, mache ich mir wenig Sorgen. Allerdings möchte ich die Flut an Events reduzieren.
Ich habe auch schon einige Stunden damit verbracht, den Events hinterherzugooglen und habe festgestellt, dass ich bei weitem nicht der Einzige mit diesen Events bin. Zahlreiche Forenbeiträge verlaufen ins Leere.
Es ist immer die Berechtigung SeTcbPrivilege, die dem lokalen Administrator "fehlt". Laut der Windows Learn Plattform besagt diese:
Audit Sensitive Privilege Use
SeTcbPrivilege:
Act as part of the operating system
This privilege identifies its holder as part of the trusted computer base. This user right allows a process to impersonate any user without authentication. The process can therefore gain access to the same local resources as that user.Ich will dem lokalen Admin natürlich nicht einfach irgendwelche Berechtigungen geben, damit die Events aufhören. Ich bin an einer sinnvollen Lösung interessiert, die mich im idealfall auch verstehen lässt, warum dieses Problem existiert.
Gibt es eine Möglichkeit herauszufinden, was diese Events auslöst? Oder was ich tun kann, damit diese Events nicht mehr ausgelöst werden.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672199
Url: https://administrator.de/forum/4673-svchost-exe-failt-wegen-setcbprivilege-672199.html
Ausgedruckt am: 30.03.2025 um 17:03 Uhr
4 Kommentare
Neuester Kommentar
hast du hier was mit GPOs rumgespielt?
Bedeutet man kann hier halt schon rumpfuschen wenn man an optionen schraubt wo man keine Ahnung von hat.
Also geht in die Richtung nur bestimmten Accounts erlauben Dienste zu starten oder solche sachen...
Bedeutet man kann hier halt schon rumpfuschen wenn man an optionen schraubt wo man keine Ahnung von hat.
Also geht in die Richtung nur bestimmten Accounts erlauben Dienste zu starten oder solche sachen...
Moin.
Damit du weiterkommst, musst du einige Dinge nachliefern.
Generell gilt: wenn man das Logging hochdreht, muss man sich selbst auf gesunden Systemen nicht wundern, wenn die Logs überquellen vor seltsamen Fehlern (die keinerlei Auswirkungen haben müssen).
Damit du weiterkommst, musst du einige Dinge nachliefern.
- Sind die Überwachungseinstellungen auf Default oder hochgedreht? Ich vermute letzteres.
- Welcher Dienst verbirgt sich denn nun hinter der hexadezimalen Process ID?
- Sind denn in irgendeinem Dienst die Anmeldeinfos des lokalen Admins hinterlegt?
- Haben nicht Admins per Default das genannte Privileg inne, sprich: hast du es ihnen absichtlich genommen?
Generell gilt: wenn man das Logging hochdreht, muss man sich selbst auf gesunden Systemen nicht wundern, wenn die Logs überquellen vor seltsamen Fehlern (die keinerlei Auswirkungen haben müssen).
Ja selbstverständlich wurde mit GPOs gearbeitet. Ich wüsste nicht in welcher größeren Domäne das nicht passiert. Und ja, bestimmte Dienste sind nur bestimmten Accounts zugeordnet. Aber die kann ich alle nachvollziehen. Nur dieses Event nicht, daher versuche ich ja dies rauszufinden.
Sind die Überwachungseinstellungen auf Default oder hochgedreht? Ich vermute letzteres.
Die Überwachungseinstellungen sind "hochgedreht".
Welcher Dienst verbirgt sich denn nun hinter der hexadezimalen Process ID?
Wie frage ich diese am Besten ab? Der Prozess wird ja gar nicht erst gestartet.
Sind denn in irgendeinem Dienst die Anmeldeinfos des lokalen Admins hinterlegt?
Nicht, dass ich es auf den ersten Blick sehen könnte. Daher versuche ich den Dienst zu finden.
Das Problem ist ungefähr so wie es etliche andere User beschreiben:
Fall 1
Fall 2
Fall 3
Die Überwachungseinstellungen sind "hochgedreht".
Welcher Dienst verbirgt sich denn nun hinter der hexadezimalen Process ID?
Wie frage ich diese am Besten ab? Der Prozess wird ja gar nicht erst gestartet.
Sind denn in irgendeinem Dienst die Anmeldeinfos des lokalen Admins hinterlegt?
Nicht, dass ich es auf den ersten Blick sehen könnte. Daher versuche ich den Dienst zu finden.
Das Problem ist ungefähr so wie es etliche andere User beschreiben:
Fall 1
Fall 2
Fall 3
