1
Windows-Protokoll-Sicherheit hat viele Überwachung erfolgreich Meldungen innerhalb kürzerster Zeit
Windows SBS-2008 erhält innerhalb kürzerster Zeit eine Menge an "Überwachung erfolgreich" Meldungen (ca. 100.000/Tag). Dabei handelt es sich um meistens um 4 sich wiederholende Meldungen. Ich danke für Tips welcher Dienst oder Zugriff diese Ereignisse verursachen könnte.
Folgende Ereignis-IDs tauchen innerhalb kürzerster Zeit in folgender Reihenfolge auf: 4672, 4769, 4624, 4634
ID 4672
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4672
Aufgabenkategorie:Spezielle Anmeldung
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
ID 4769
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Ereignis-ID: 4769
Aufgabenkategorie:Ticketvorgänge des Kerberos-Diensts
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung: Ein Kerberos-Dienstticket wurde angefordert.
ID 4624
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4624
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung: Ein Konto wurde erfolgreich angemeldet.
ID 4634
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4634
Aufgabenkategorie:Abmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung: Ein Konto wurde abgemeldet.
Detailprotokoll:
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4672
Aufgabenkategorie:Spezielle Anmeldung
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung:
Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVERNAME$
Kontodomäne: DOMAIN
Anmelde-ID: 0x351826c
Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4672</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12548</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2009-05-27T01:17:02.409Z" />
<EventRecordID>5639291</EventRecordID>
<Correlation />
<Execution ProcessID="608" ThreadID="704" />
<Channel>Security</Channel>
<Computer>SERVERNAME.DOMAIN.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">SERVERNAME$</Data>
<Data Name="SubjectDomainName">DOMAIN</Data>
<Data Name="SubjectLogonId">0x351826c</Data>
<Data Name="PrivilegeList">SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4769
Aufgabenkategorie:Ticketvorgänge des Kerberos-Diensts
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung:
Ein Kerberos-Dienstticket wurde angefordert.
Kontoinformationen:
Kontoname: SERVERNAME$@DOMAIN.LOCAL
Kontodomäne: DOMAIN.LOCAL
Anmelde-GUID: {21042E5B-8152-9C52-187A-1274656FDF8F}
Dienstinformationen:
Dienstname: krbtgt
Dienst-ID: DOMAIN\krbtgt
Netzwerkinformationen:
Clientadresse: ::1
Clientport: 0
Weitere Informationen:
Ticketoptionen: 0x60810010
Ticketverschlüsselungstyp: 0x17
Fehlercode: 0x0
Übertragene Dienste: -
Dieses Ereignis wird jedes Mal generiert, wenn der Zugriff auf eine Ressource angefordert wird, z. B. auf einen Computer oder einen Windows-Dienst. Der Dienstname steht für die Ressource, auf die der Zugriff angefordert wurde.
Dieses Ereignis kann mit Windows-Anmeldeereignissen korreliert sein, wenn Anmelde-GUID-Felder in jedem Ereignis verglichen werden. Das Anmeldeereignis findet auf dem Computer statt, auf den zugegriffen wird, d.h. oft einem anderen Computer als dem Domänencontroller, auf dem das Dienstticket ausgestellt wurde.
Ticketoptionen, Verschlüsselungstypen und Fehlercodes sind in RFC 1510 definiert.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4769</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14337</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2009-05-27T01:17:02.406Z" />
<EventRecordID>5639290</EventRecordID>
<Correlation />
<Execution ProcessID="608" ThreadID="2872" />
<Channel>Security</Channel>
<Computer>SERVERNAME.DOMAIN.local</Computer>
<Security />
</System>
<EventData>
<Data Name="TargetUserName">SERVERNAME$@DOMAIN.LOCAL</Data>
<Data Name="TargetDomainName">DOMAIN.LOCAL</Data>
<Data Name="ServiceName">krbtgt</Data>
<Data Name="ServiceSid">S-1-5-21-95688018-1014954624-2888060996-502</Data>
<Data Name="TicketOptions">0x60810010</Data>
<Data Name="TicketEncryptionType">0x17</Data>
<Data Name="IpAddress">::1</Data>
<Data Name="IpPort">0</Data>
<Data Name="Status">0x0</Data>
<Data Name="LogonGuid">{21042E5B-8152-9C52-187A-1274656FDF8F}</Data>
<Data Name="TransmittedServices">-</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4634
Aufgabenkategorie:Abmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung:
Ein Konto wurde abgemeldet.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVERNAME$
Kontodomäne: DOMAIN
Anmelde-ID: 0x351824d
Anmeldetyp: 3
Dieses Ereignis wird generiert, wenn eine Anmeldesitzung zerstört wird. Es kann anhand des Wertes der Anmelde-ID positiv mit einem Anmeldeereignis korreliert werden. Anmelde-IDs sind nur zwischen Neustarts auf demselben Computer eindeutig.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4634</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12545</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2009-05-27T01:17:02.403Z" />
<EventRecordID>5639289</EventRecordID>
<Correlation />
<Execution ProcessID="608" ThreadID="6092" />
<Channel>Security</Channel>
<Computer>SERVERNAME.DOMAIN.local</Computer>
<Security />
</System>
<EventData>
<Data Name="TargetUserSid">S-1-5-18</Data>
<Data Name="TargetUserName">SERVERNAME$</Data>
<Data Name="TargetDomainName">DOMAIN</Data>
<Data Name="TargetLogonId">0x351824d</Data>
<Data Name="LogonType">3</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4624
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung:
Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Neue Anmeldung:
Sicherheits-ID: SYSTEM
Kontoname: SERVERNAME$
Kontodomäne: DOMAIN
Anmelde-ID: 0x351824d
Anmelde-GUID: {E5003ED1-85C5-EF2D-0FE4-393AF8F19BD0}
Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -
Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: fe80::4f31:226e:9258:a5eb
Quellport: 39230
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Kerberos
Authentifizierungspaket: Kerberos
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2009-05-27T01:17:02.399Z" />
<EventRecordID>5639288</EventRecordID>
<Correlation />
<Execution ProcessID="608" ThreadID="704" />
<Channel>Security</Channel>
<Computer>SERVERNAME.DOMAIN.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-5-18</Data>
<Data Name="TargetUserName">SERVERNAME$</Data>
<Data Name="TargetDomainName">DOMAIN</Data>
<Data Name="TargetLogonId">0x351824d</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">Kerberos</Data>
<Data Name="AuthenticationPackageName">Kerberos</Data>
<Data Name="WorkstationName">
</Data>
<Data Name="LogonGuid">{E5003ED1-85C5-EF2D-0FE4-393AF8F19BD0}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">fe80::4f31:226e:9258:a5eb</Data>
<Data Name="IpPort">39230</Data>
</EventData>
</Event>
ID 4672
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4672
Aufgabenkategorie:Spezielle Anmeldung
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
ID 4769
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Ereignis-ID: 4769
Aufgabenkategorie:Ticketvorgänge des Kerberos-Diensts
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung: Ein Kerberos-Dienstticket wurde angefordert.
ID 4624
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4624
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung: Ein Konto wurde erfolgreich angemeldet.
ID 4634
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4634
Aufgabenkategorie:Abmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung: Ein Konto wurde abgemeldet.
Detailprotokoll:
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4672
Aufgabenkategorie:Spezielle Anmeldung
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung:
Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVERNAME$
Kontodomäne: DOMAIN
Anmelde-ID: 0x351826c
Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4672</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12548</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2009-05-27T01:17:02.409Z" />
<EventRecordID>5639291</EventRecordID>
<Correlation />
<Execution ProcessID="608" ThreadID="704" />
<Channel>Security</Channel>
<Computer>SERVERNAME.DOMAIN.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">SERVERNAME$</Data>
<Data Name="SubjectDomainName">DOMAIN</Data>
<Data Name="SubjectLogonId">0x351826c</Data>
<Data Name="PrivilegeList">SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4769
Aufgabenkategorie:Ticketvorgänge des Kerberos-Diensts
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung:
Ein Kerberos-Dienstticket wurde angefordert.
Kontoinformationen:
Kontoname: SERVERNAME$@DOMAIN.LOCAL
Kontodomäne: DOMAIN.LOCAL
Anmelde-GUID: {21042E5B-8152-9C52-187A-1274656FDF8F}
Dienstinformationen:
Dienstname: krbtgt
Dienst-ID: DOMAIN\krbtgt
Netzwerkinformationen:
Clientadresse: ::1
Clientport: 0
Weitere Informationen:
Ticketoptionen: 0x60810010
Ticketverschlüsselungstyp: 0x17
Fehlercode: 0x0
Übertragene Dienste: -
Dieses Ereignis wird jedes Mal generiert, wenn der Zugriff auf eine Ressource angefordert wird, z. B. auf einen Computer oder einen Windows-Dienst. Der Dienstname steht für die Ressource, auf die der Zugriff angefordert wurde.
Dieses Ereignis kann mit Windows-Anmeldeereignissen korreliert sein, wenn Anmelde-GUID-Felder in jedem Ereignis verglichen werden. Das Anmeldeereignis findet auf dem Computer statt, auf den zugegriffen wird, d.h. oft einem anderen Computer als dem Domänencontroller, auf dem das Dienstticket ausgestellt wurde.
Ticketoptionen, Verschlüsselungstypen und Fehlercodes sind in RFC 1510 definiert.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4769</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14337</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2009-05-27T01:17:02.406Z" />
<EventRecordID>5639290</EventRecordID>
<Correlation />
<Execution ProcessID="608" ThreadID="2872" />
<Channel>Security</Channel>
<Computer>SERVERNAME.DOMAIN.local</Computer>
<Security />
</System>
<EventData>
<Data Name="TargetUserName">SERVERNAME$@DOMAIN.LOCAL</Data>
<Data Name="TargetDomainName">DOMAIN.LOCAL</Data>
<Data Name="ServiceName">krbtgt</Data>
<Data Name="ServiceSid">S-1-5-21-95688018-1014954624-2888060996-502</Data>
<Data Name="TicketOptions">0x60810010</Data>
<Data Name="TicketEncryptionType">0x17</Data>
<Data Name="IpAddress">::1</Data>
<Data Name="IpPort">0</Data>
<Data Name="Status">0x0</Data>
<Data Name="LogonGuid">{21042E5B-8152-9C52-187A-1274656FDF8F}</Data>
<Data Name="TransmittedServices">-</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4634
Aufgabenkategorie:Abmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung:
Ein Konto wurde abgemeldet.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SERVERNAME$
Kontodomäne: DOMAIN
Anmelde-ID: 0x351824d
Anmeldetyp: 3
Dieses Ereignis wird generiert, wenn eine Anmeldesitzung zerstört wird. Es kann anhand des Wertes der Anmelde-ID positiv mit einem Anmeldeereignis korreliert werden. Anmelde-IDs sind nur zwischen Neustarts auf demselben Computer eindeutig.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4634</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12545</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2009-05-27T01:17:02.403Z" />
<EventRecordID>5639289</EventRecordID>
<Correlation />
<Execution ProcessID="608" ThreadID="6092" />
<Channel>Security</Channel>
<Computer>SERVERNAME.DOMAIN.local</Computer>
<Security />
</System>
<EventData>
<Data Name="TargetUserSid">S-1-5-18</Data>
<Data Name="TargetUserName">SERVERNAME$</Data>
<Data Name="TargetDomainName">DOMAIN</Data>
<Data Name="TargetLogonId">0x351824d</Data>
<Data Name="LogonType">3</Data>
</EventData>
</Event>
Protokollname: Security
Quelle: Microsoft-Windows-Security-Auditing
Datum: 27.05.2009 03:17:02
Ereignis-ID: 4624
Aufgabenkategorie:Anmelden
Ebene: Informationen
Schlüsselwörter:Überwachung erfolgreich
Benutzer: Nicht zutreffend
Computer: SERVERNAME.DOMAIN.local
Beschreibung:
Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: NULL SID
Kontoname: -
Kontodomäne: -
Anmelde-ID: 0x0
Anmeldetyp: 3
Neue Anmeldung:
Sicherheits-ID: SYSTEM
Kontoname: SERVERNAME$
Kontodomäne: DOMAIN
Anmelde-ID: 0x351824d
Anmelde-GUID: {E5003ED1-85C5-EF2D-0FE4-393AF8F19BD0}
Prozessinformationen:
Prozess-ID: 0x0
Prozessname: -
Netzwerkinformationen:
Arbeitsstationsname:
Quellnetzwerkadresse: fe80::4f31:226e:9258:a5eb
Quellport: 39230
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Kerberos
Authentifizierungspaket: Kerberos
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2009-05-27T01:17:02.399Z" />
<EventRecordID>5639288</EventRecordID>
<Correlation />
<Execution ProcessID="608" ThreadID="704" />
<Channel>Security</Channel>
<Computer>SERVERNAME.DOMAIN.local</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-5-18</Data>
<Data Name="TargetUserName">SERVERNAME$</Data>
<Data Name="TargetDomainName">DOMAIN</Data>
<Data Name="TargetLogonId">0x351824d</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">Kerberos</Data>
<Data Name="AuthenticationPackageName">Kerberos</Data>
<Data Name="WorkstationName">
</Data>
<Data Name="LogonGuid">{E5003ED1-85C5-EF2D-0FE4-393AF8F19BD0}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">fe80::4f31:226e:9258:a5eb</Data>
<Data Name="IpPort">39230</Data>
</EventData>
</Event>
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 116893
Url: https://administrator.de/contentid/116893
Printed on: April 26, 2024 at 14:04 o'clock
1 Comment
Ich habe den selben Effekt - haben Sie eine Lösung gefunden?
Beste Grüße,
Martin Cargnelli
Beste Grüße,
Martin Cargnelli