- Remove From My Forums
Что за вход выполняется на сервер ночью ?
-
Вопрос
-
Просматривая журнал событий Windows 2008 Server Standard, увидели, что есть иногда какие-то «входы» ночью в 00-13 или 03-00.
Как узнать — это какие-то системные входы или кто-то подключался к серверу ?
Просто в это время офис закрыт, никто не работает.
Вот скрин одного такого входа:
autobuh
Ответы
-
Тип входа: 5 означает, что это вход службы.
Тип 2 это локальный вход
Тип 3 это вход по сети.
А как узнать — что это за служба «входит» ?
Смотрите в журнале событий системы записи — там отображается запуск/остановка служб
Например, включить аудит событий типа Process tracking и смотреть записи аудита в журнале Безопасность. Сразу предупреждаю — записей аудита для этого типа событий будет много.
Слава России!
-
Изменено
11 июня 2014 г. 14:34
-
Помечено в качестве ответа
Petko KrushevMicrosoft contingent staff
19 июня 2014 г. 8:07
-
Изменено
| title | description | ms.pagetype | ms.prod | ms.mktglfcycl | ms.sitesec | ms.localizationpriority | author | ms.date | ms.reviewer | manager | ms.author | ms.technology | ms.topic |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
4672(S) Special privileges assigned to new logon. (Windows 10) |
Describes security event 4672(S) Special privileges assigned to new logon. |
security |
windows-client |
deploy |
library |
none |
vinaypamnani-msft |
09/07/2021 |
aaroncz |
vinpa |
itpro-security |
reference |
4672(S): Special privileges assigned to new logon.
Subcategory: Audit Special Logon
Event Description:
This event generates for new account logons if any of the following sensitive privileges are assigned to the new logon session:
-
SeTcbPrivilege — Act as part of the operating system
-
SeBackupPrivilege — Back up files and directories
-
SeCreateTokenPrivilege — Create a token object
-
SeDebugPrivilege — Debug programs
-
SeEnableDelegationPrivilege — Enable computer and user accounts to be trusted for delegation
-
SeAuditPrivilege — Generate security audits
-
SeImpersonatePrivilege — Impersonate a client after authentication
-
SeLoadDriverPrivilege — Load and unload device drivers
-
SeSecurityPrivilege — Manage auditing and security log
-
SeSystemEnvironmentPrivilege — Modify firmware environment values
-
SeAssignPrimaryTokenPrivilege — Replace a process-level token
-
SeRestorePrivilege — Restore files and directories,
-
SeTakeOwnershipPrivilege — Take ownership of files or other objects
You typically will see many of these events in the event log, because every logon of SYSTEM (Local System) account triggers this event.
Note For recommendations, see Security Monitoring Recommendations for this event.
Event XML:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4672</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12548</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2015-09-11T01:10:57.091809600Z" />
<EventRecordID>237692</EventRecordID>
<Correlation />
<Execution ProcessID="504" ThreadID="524" />
<Channel>Security</Channel>
<Computer>DC01.contoso.local</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data>
<Data Name="SubjectUserName">dadmin</Data>
<Data Name="SubjectDomainName">CONTOSO</Data>
<Data Name="SubjectLogonId">0x671101</Data>
<Data Name="PrivilegeList">SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeEnableDelegationPrivilege SeImpersonatePrivilege</Data>
</EventData>
</Event>
Required Server Roles: None.
Minimum OS Version: Windows Server 2008, Windows Vista.
Event Versions: 0.
Field Descriptions:
Subject:
- Security ID [Type = SID]: SID of account to which special privileges were assigned. Event Viewer automatically tries to resolve SIDs and show the account name. If the SID cannot be resolved, you will see the source data in the event.
Note A security identifier (SID) is a unique value of variable length used to identify a trustee (security principal). Each account has a unique SID that is issued by an authority, such as an Active Directory domain controller, and stored in a security database. Each time a user logs on, the system retrieves the SID for that user from the database and places it in the access token for that user. The system uses the SID in the access token to identify the user in all subsequent interactions with Windows security. When a SID has been used as the unique identifier for a user or group, it cannot ever be used again to identify another user or group. For more information about SIDs, see Security identifiers.
-
Account Name [Type = UnicodeString]: the name of the account to which special privileges were assigned.
-
Account Domain [Type = UnicodeString]: subject’s domain or computer name. Formats vary, and include the following:
-
Domain NETBIOS name example: CONTOSO
-
Lowercase full domain name: contoso.local
-
Uppercase full domain name: CONTOSO.LOCAL
-
For some well-known security principals, such as LOCAL SERVICE or ANONYMOUS LOGON, the value of this field is “NT AUTHORITY”.
-
For local user accounts, this field will contain the name of the computer or device that this account belongs to, for example: “Win81”.
-
-
Logon ID [Type = HexInt64]: hexadecimal value that can help you correlate this event with recent events that might contain the same Logon ID, for example, “4624: An account was successfully logged on.”
Privileges [Type = UnicodeString]: the list of sensitive privileges, assigned to the new logon. The following table contains the list of possible privileges for this event:
| Privilege Name | User Right Group Policy Name | Description |
|---|---|---|
| SeAssignPrimaryTokenPrivilege | Replace a process-level token | Required to assign the primary token of a process. With this privilege, the user can initiate a process to replace the default token associated with a started subprocess. |
| SeAuditPrivilege | Generate security audits | With this privilege, the user can add entries to the security log. |
| SeBackupPrivilege | Back up files and directories | — Required to perform backup operations. With this privilege, the user can bypass file and directory, registry, and other persistent object permissions for the purposes of backing up the system. This privilege causes the system to grant all read access control to any file, regardless of the access control list (ACL) specified for the file. Any access request other than read is still evaluated with the ACL. The following access rights are granted if this privilege is held: READ_CONTROL ACCESS_SYSTEM_SECURITY FILE_GENERIC_READ FILE_TRAVERSE |
| SeCreateTokenPrivilege | Create a token object | Allows a process to create a token which it can then use to get access to any local resources when the process uses NtCreateToken() or other token-creation APIs. When a process requires this privilege, we recommend using the LocalSystem account (which already includes the privilege), rather than creating a separate user account and assigning this privilege to it. |
| SeDebugPrivilege | Debug programs | Required to debug and adjust the memory of a process owned by another account. With this privilege, the user can attach a debugger to any process or to the kernel. We recommend that SeDebugPrivilege always be granted to Administrators, and only to Administrators. Developers who are debugging their own applications do not need this user right. Developers who are debugging new system components need this user right. This user right provides complete access to sensitive and critical operating system components. |
| SeEnableDelegationPrivilege | Enable computer and user accounts to be trusted for delegation | Required to mark user and computer accounts as trusted for delegation. With this privilege, the user can set the Trusted for Delegation setting on a user or computer object. The user or object that is granted this privilege must have write access to the account control flags on the user or computer object. A server process running on a computer (or under a user context) that is trusted for delegation can access resources on another computer using the delegated credentials of a client, as long as the account of the client does not have the Account cannot be delegated account control flag set. |
| SeImpersonatePrivilege | Impersonate a client after authentication | With this privilege, the user can impersonate other accounts. |
| SeLoadDriverPrivilege | Load and unload device drivers | Required to load or unload a device driver. With this privilege, the user can dynamically load and unload device drivers or other code in to kernel mode. This user right does not apply to Plug and Play device drivers. |
| SeRestorePrivilege | Restore files and directories | Required to perform restore operations. This privilege causes the system to grant all write access control to any file, regardless of the ACL specified for the file. Any access request other than write is still evaluated with the ACL. Additionally, this privilege enables you to set any valid user or group SID as the owner of a file. The following access rights are granted if this privilege is held: WRITE_DAC WRITE_OWNER ACCESS_SYSTEM_SECURITY FILE_GENERIC_WRITE FILE_ADD_FILE FILE_ADD_SUBDIRECTORY DELETE With this privilege, the user can bypass file, directory, registry, and other persistent objects permissions when restoring backed up files and directories and determines which users can set any valid security principal as the owner of an object. |
| SeSecurityPrivilege | Manage auditing and security log | Required to perform a number of security-related functions, such as controlling and viewing audit events in security event log. With this privilege, the user can specify object access auditing options for individual resources, such as files, Active Directory objects, and registry keys. A user with this privilege can also view and clear the security log. |
| SeSystemEnvironmentPrivilege | Modify firmware environment values | Required to modify the nonvolatile RAM of systems that use this type of memory to store configuration information. |
| SeTakeOwnershipPrivilege | Take ownership of files or other objects | Required to take ownership of an object without being granted discretionary access. This privilege allows the owner value to be set only to those values that the holder may legitimately assign as the owner of an object. With this privilege, the user can take ownership of any securable object in the system, including Active Directory objects, files and folders, printers, registry keys, processes, and threads. |
| SeTcbPrivilege | Act as part of the operating system | This privilege identifies its holder as part of the trusted computer base. This user right allows a process to impersonate any user without authentication. The process can therefore gain access to the same local resources as that user. |
Security Monitoring Recommendations
For 4672(S): Special privileges assigned to new logon.
Important For this event, also see Appendix A: Security monitoring recommendations for many audit events.
-
Monitor for this event where “SubjectSecurity ID” is not one of these well-known security principals: LOCAL SYSTEM, NETWORK SERVICE, LOCAL SERVICE, and where “SubjectSecurity ID” is not an administrative account that is expected to have the listed Privileges.
-
If you have a list of specific privileges which should never be granted, or granted only to a few accounts (for example, SeDebugPrivilege), use this event to monitor for those “Privileges.”
- If you are required to monitor any of the sensitive privileges in the Event Description for this event, search for those specific privileges in the event.
| Operating Systems |
Windows 2008 R2 and 7
Windows 2012 R2 and 8.1 Windows 2016 and 10 Windows Server 2019 and 2022 |
|
Category • Subcategory |
Logon/Logoff • Special Logon |
| Type | Success |
|
Corresponding events in Windows 2003 and before |
576
|
4672: Special privileges assigned to new logon
On this page
- Description of this event
- Field level details
- Examples
- Discuss this event
- Mini-seminars on this event
This event lets you know whenever an account assigned any «administrator equivalent» user rights logs on. For instance you will see event 4672 in close proximity to logon events (4624) for administrators since administrators have most of these admin-equivalent rights.
So, this is a useful right to detecting any «super user» account logons. Of course this right is logged for any server or applications accounts logging on as a batch job (scheduled task) or system service. See Logon Type: on event ID 4624. You can correlate 4672 to 4624 by Logon ID:.
Note: «User rights» and «privileges» are synonymous terms used interchangeably in Windows.
Admin-equivalent rights are powerful authorities that allow you to circumvent other security controls in Windows. Most admin equivalent privileges are intended for services and applications that interact closely with the operating system. With just a few exceptions, most admin equivalent privileges neither need nor should be granted to human user accounts.
Some Microsoft documentation puts this in the «Sensitive Privilege Use / Non-Sensitive Privilege Use» subcategory. However our testing finds this in the «Special Logon» Category.
Free Security Log Resources by Randy
- Free Security Log Quick Reference Chart
- Windows Event Collection: Supercharger Free Edtion
- Free Active Directory Change Auditing Solution
- Free Course: Security Log Secrets
Description Fields in
4672
Subject:
The ID and logon session of the administrator-equivalent user that just logged on.
- Security ID: The SID of the account.
- Account Name: The account logon name.
- Account Domain: The domain or — in the case of local accounts — computer name.
- Logon ID is a semi-unique (unique between reboots) number that identifies the logon session. Logon ID allows you to correlate backwards to the logon event (4624) as well as with other events logged during the same logon session.
Privileges:
The names of all the admin-equivalent privileges the user held at the time of logon.
Supercharger Free Edition
Your browser does not support video
- Monitoring Privileged Accounts with the Windows Security Log to Catch Lateral Movement by Mimikatz and other Credential Harvesting
Здравствуйте, я не очень продвинутый пользователь. Недавно, заметил, мерцающие и исчезающие окна при работе на ноутбуке. Похоже, на командную строку, быстро исчезают. Если, что-то пишу в документе или еще что-то делаю, происходит прерывание и т.д., на очень короткий срок.
Пользователь один с паролем. Система W10.
Нашел события, посмотрев в интернете, не смог разобраться.
Просмотр событий — Журналы Windows — Безопасность
4672 Special Logon
Кликните здесь для просмотра всего текста
— <Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>
— <System>
<Provider Name=»Microsoft-Windows-Security-Auditing» Guid=»{54849625-5478-4994-a5ba-3e3b0328c30d}» />
<EventID>4672</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12548</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime=»2023-01-02T14:24:20.3796450Z» />
<EventRecordID>43493</EventRecordID>
<Correlation ActivityID=»{6ac64a46-1ea4-0003-654a-c66aa41ed901}» />
<Execution ProcessID=»856″ ThreadID=»10768″ />
<Channel>Security</Channel>
<Computer>DESKTOP-ThinkPad-X270</Computer>
<Security />
</System>
— <EventData>
<Data Name=»SubjectUserSid»>S-1-5-18</Data>
<Data Name=»SubjectUserName»>СИСТЕМА</Data>
<Data Name=»SubjectDomainName»>NT AUTHORITY</Data>
<Data Name=»SubjectLogonId»>0x3e7</Data>
<Data Name=»PrivilegeList»>SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege</Data>
</EventData>
</Event>
4624 Logon
Кликните здесь для просмотра всего текста
— <Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>
— <System>
<Provider Name=»Microsoft-Windows-Security-Auditing» Guid=»{54849625-5478-4994-a5ba-3e3b0328c30d}» />
<EventID>4624</EventID>
<Version>2</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime=»2023-01-02T14:24:20.3796366Z» />
<EventRecordID>43492</EventRecordID>
<Correlation ActivityID=»{6ac64a46-1ea4-0003-654a-c66aa41ed901}» />
<Execution ProcessID=»856″ ThreadID=»10768″ />
<Channel>Security</Channel>
<Computer>DESKTOP-ThinkPad-X270</Computer>
<Security />
</System>
— <EventData>
<Data Name=»SubjectUserSid»>S-1-5-18</Data>
<Data Name=»SubjectUserName»>DESKTOP-THINKPA$</Data>
<Data Name=»SubjectDomainName»>GROOT</Data>
<Data Name=»SubjectLogonId»>0x3e7</Data>
<Data Name=»TargetUserSid»>S-1-5-18</Data>
<Data Name=»TargetUserName»>СИСТЕМА</Data>
<Data Name=»TargetDomainName»>NT AUTHORITY</Data>
<Data Name=»TargetLogonId»>0x3e7</Data>
<Data Name=»LogonType»>5</Data>
<Data Name=»LogonProcessName»>Advapi</Data>
<Data Name=»AuthenticationPackageName»>Negotiate</Data>
<Data Name=»WorkstationName»>-</Data>
<Data Name=»LogonGuid»>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name=»TransmittedServices»>-</Data>
<Data Name=»LmPackageName»>-</Data>
<Data Name=»KeyLength»>0</Data>
<Data Name=»ProcessId»>0x350</Data>
<Data Name=»ProcessName»>C:WindowsSystem32services.ex e</Data>
<Data Name=»IpAddress»>-</Data>
<Data Name=»IpPort»>-</Data>
<Data Name=»ImpersonationLevel»>%%1833</Data>
<Data Name=»RestrictedAdminMode»>-</Data>
<Data Name=»TargetOutboundUserName»>-</Data>
<Data Name=»TargetOutboundDomainName»>-</Data>
<Data Name=»VirtualAccount»>%%1843</Data>
<Data Name=»TargetLinkedLogonId»>0x0</Data>
<Data Name=»ElevatedToken»>%%1842</Data>
</EventData>
</Event>
Насчитал 24 раза Special Logon и Logon за последний час, само мерцающее окно, заметил пару раз.
Спасибо за помощь!
__________________
Помощь в написании контрольных, курсовых и дипломных работ, диссертаций здесь
Лог приложил.
Постоянно пишет, что загрузка жеского диска 100%, хотя ни чего вроде не грузит его.
Посмотрел журнал безопасности системы, и там каждые 10-40 минут:
Аудит успеха 01.09.2015 14:59:52 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 01.09.2015 14:59:52 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 01.09.2015 14:42:10 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 01.09.2015 14:42:10 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 01.09.2015 14:04:01 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 01.09.2015 14:04:01 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 01.09.2015 14:02:50 Microsoft Windows security auditing. 4797 Управление учетными записями
Аудит успеха 01.09.2015 14:02:50 Microsoft Windows security auditing. 4797 Управление учетными записями
Аудит успеха 01.09.2015 14:02:50 Microsoft Windows security auditing. 4797 Управление учетными записями
Аудит успеха 01.09.2015 13:42:17 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 01.09.2015 13:42:17 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 01.09.2015 13:41:41 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 01.09.2015 13:41:41 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 01.09.2015 13:41:03 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 01.09.2015 13:41:03 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 01.09.2015 12:30:36 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 01.09.2015 12:30:36 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 01.09.2015 12:14:41 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 01.09.2015 12:14:41 Microsoft Windows security auditing. 4624 Вход в систему
С чем это может быть связано?
CollectionLog-2015.09.01-15.20.zip
Тема: На комп постоянно заходят по сети
Опции темы
Нужна Ваша помощь. В общем, проблема такова: с определенного времени стал замечать, что на мой комп постоянно кто — то заходит по сети. На компе стоит «Комодо». При установке «Комодо», в настройках «Файерволла» поставил «Анализ протоколов, фильтрация» и т.д., что по умолчанию не было выставлено. Но, к сожалению, как оказалось это не помогло(((
Прошу Вашей помощи в подсказке: какую софтину можно поставить, чтобы в логи записывалось, с какого айпи по сети ко мне зашли? Очень надо, друзяки.
Прошу за подобный вопрос сильно не пинать. Всем спасибо за внимание и за ответы.
Что значит заходят? Как вы это поняли? Т.е. обоснуйте что происходит. Также понять бы по какой сети
по LAN’у, через инет? Или по wi-fi?
IP сильно напоминает локальный, попробуйте сменить имя рабочей группы(придумайте позаковыристее),
в которую входит комп. Не ставьте общий доступ к папкам.
Такое бывает, если в локальной сети есть комп с точно таким же IP. Учитывая что ваш IP это 192.168
а вторые 2 цифры фактически в самом начале диапазона — такое могло быть, если ваш комп подключен
к общей локалке, где много компов.
В сетях я не сильно рублю, но это первое что сделал бы, также проверьте на руткиты, скачайте с
сайта касперского бесплатную утилиту для проверки и протестируйте комп ею.
Хорошо бы посмотреть, работают ли следующие службы:
Вторичный вход в систему
Служба удаленного управления windows
Служба управления сетью
Служба удаленных рабочих столов — выключить
Удаленное управление — выключить
Удаленный реестр — выключить обязательно
если будете выключать, то не все сразу, а по одной, выключили и посмотрели, что происходит, проанализировали, через недельку следующую.
Адреса вида 192.168.1.X относятся к вашей локальной сети. Раз у вас у ноута и компа два разных адреса, соответственно 2-ой и 3-ий в вашей локальной сети. Сделовательно у вас не просто модем, а роутер. Далее надо понять как у вас присвается IP адрес, т.е. вы сами его жестко руками установили или он всякий раз автоматически выдается DHCP сервером. Постмотрите сетевые настройки и скажите как у вас настроен IP адрес.
Друзья, глянул в «Аудит безопасности» на компе. Выдало такое:
Аудит успеха 15.04.2014 11:07:23 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 11:07:23 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 10:43:58 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 10:43:58 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 10:43:58 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 10:43:58 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:49 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:49 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:41 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:41 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:41 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:41 Microsoft Windows security auditing. 4648 Вход в систему
Аудит успеха 15.04.2014 8:24:19 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:18 Microsoft Windows security auditing. 5024 Другие системные события
Аудит успеха 15.04.2014 8:24:17 Microsoft Windows security auditing. 5033 Другие системные события
Аудит успеха 15.04.2014 8:24:17 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:17 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:15 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:15 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:15 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:15 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:14 Microsoft Windows security auditing. 4902 Аудит изменения политики
Аудит успеха 15.04.2014 8:24:13 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:13 Microsoft Windows security auditing. 4608 Изменение состояния безопасности
Аудит успеха 15.04.2014 8:23:24 Eventlog 1100 Завершение работы службы
Аудит успеха 15.04.2014 8:23:23 Microsoft Windows security auditing. 4647 Выход из системы
Аудит успеха 15.04.2014 7:43:22 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 7:43:22 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 7:43:22 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 7:43:22 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 5:57:19 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 5:57:19 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 5:57:11 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 5:57:11 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 5:57:11 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 5:57:11 Microsoft Windows security auditing. 4648 Вход в систему
Аудит успеха 15.04.2014 5:57:00 Microsoft Windows security auditing. 4624 Вход в систему
В 8:24:13 я опять включил комп (матери оставил, чтобы она в инете инфу поискала) и уехал на работу. Приехал почти в 19.00. Если зайти в любое из этих событий, то будет такое:
Вкладка «Общие»:
Новому сеансу входа назначены специальные привилегии.
Субъект:
ИД безопасности: система
Имя учетной записи: система
Домен учетной записи: NT AUTHORITY
Код входа: 0x3e7
Привилегии: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
[ Name] Microsoft-Windows-Security-Auditing
[ Guid]
Источник
Специальный вход в систему windows
Сообщения: 51436
Благодарности: 14738
| Конфигурация компьютера | |
| Материнская плата: ASUS P8Z77-V LE PLUS | |
| HDD: Samsung SSD 850 PRO 256 Гб, WD Green WD20EZRX 2 Тб | |
| Звук: Realtek ALC889 HD Audio | |
| CD/DVD: ASUS DRW-24B5ST | |
| ОС: Windows 8.1 Pro x64 | |
| Прочее: корпус: Fractal Design Define R4 |
Правой кнопкой мыши -> Копировать -> Копировать сведения как текст -> выложите.
Также смотрите в других разделах: Приложение и Система.
«Вход в систему» в вашем случае может означать запуск задачи планировщиком — смотрите в Пуск -> Панель управления -> Администрирование -> Планировщик заданий.
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 26.03.2013 4:28:44
Код события: 4624
Категория задачи:Вход в систему
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: mypc-PC
Описание:
Вход с учетной записью выполнен успешно.
Субъект:
ИД безопасности: система
Имя учетной записи: MYPC-PC$
Домен учетной записи: WORKGROUP
Код входа: 0x3e7
Новый вход:
ИД безопасности: система
Имя учетной записи: система
Домен учетной записи: NT AUTHORITY
Код входа: 0x3e7
GUID входа:
Сведения о процессе:
Идентификатор процесса: 0x1d0
Имя процесса: C:WindowsSystem32services.exe
Сведения о сети:
Имя рабочей станции:
Сетевой адрес источника: —
Порт источника: —
Сведения о проверке подлинности:
Процесс входа: Advapi
Пакет проверки подлинности: Negotiate
Промежуточные службы: —
Имя пакета (только NTLM): —
Длина ключа: 0
Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.
Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле «Тип входа» указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).
Поля «Новый вход» указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.
В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— Поле «Длина ключа» содержит длину созданного ключа сеанса. Это поле может иметь значение «0», если ключ сеанса не запрашивался.
Xml события:
4624
0
0
12544
0
0x8020000000000000
1120
Security
mypc-PC
S-1-5-18
MYPC-PC$
WORKGROUP
0x3e7
S-1-5-18
система
NT AUTHORITY
0x3e7
5
Advapi
Negotiate
<00000000-0000-0000-0000-000000000000>
—
—
0
0x1d0
C:WindowsSystem32services.exe
—
—
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 26.03.2013 4:28:44
Код события: 4672
Категория задачи:Специальный вход
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: mypc-PC
Описание:
Новому сеансу входа назначены специальные привилегии.
Субъект:
ИД безопасности: система
Имя учетной записи: система
Домен учетной записи: NT AUTHORITY
Код входа: 0x3e7
Привилегии: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Xml события:
4672
0
0
12548
0
0x8020000000000000
1121
Security
mypc-PC
S-1-5-18
система
NT AUTHORITY
0x3e7
SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
В приложениях и системе ничего странного нет, кроме, может быть, кучи вот таких записей в системе:
Источник
Автоматический вход в систему Windows 7 без ввода пароля или в домен
Привет! У меня есть отдельный компьютер с Windows 7, который работает круглосуточно, как сервер. На нем установлена специальная программа для отправки документов, которая нужна всем пользователям моей локальной сети. Нужно обеспечить непрерывную работу этой программы после любой «ситуации» — даже после внезапного «мигания» электричества или перезагрузки.
Решение : можно настроить автоматический вход в систему без ввода пароля. После успешного старта и входа нужная пользователям сети программа запускается автоматически через автозагрузку. Давайте начнем настраивать.
Автоматический вход в систему Windows 7 без выбора пользователя
Даже если пароль не установлен, но на компьютере заведены пользователи, система не стартует до конца. Всегда приходится вручную выбирать нужного пользователя. Чтобы это дело отключить запускаем нужную оснастку для настроек через сочетание клавиш Win+R (вызов меню «Выполнить») и копируем туда одну из команд на выбор:
netplwiz
или
control userpasswords2
Выбрав нужную запись снимаем флажок как на фото:
Далее, вводим пароль от учетной записи. Если пароля не было, то строки оставляем пустыми:
Автоматический вход в windows 7 без ввода пароля в домене через реестр
В некоторых ситуациях помогает настройка входа через реестр. Честно говоря, проще делать настройки специальной утилитой, чем самому ковыряться в реестре. Ведь потом надо не забыть как вернуть все обратно если возникнет такая необходимость.
Но если надо, значит надо. В редакторе реестра ищем ветвь HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
Создаем последовательно три строковых параметра с нужными значениями (нужно знать имя нужного пользователя и пароль, а так же имя домена если наш компьютер входит в доменную сеть.
В моем случае для входа в Windows используется учетная запись Майкрософт и параметр Default Password не заведен
| AutoAdminLogon | Строковый (REG_SZ) | Значение = 1 | Автоматический вход в систему включен |
| DefaultUserName | Строковый (REG_SZ) | Имя пользователя | Имя пользователя, для которого настраивается автоматический вход в систему |
| DefaultPassword | Строковый (REG_SZ) | Пароль | Пароль пользователя, для которого настраивается автоматический вход в систему. |
| DefaultDomainName | Строковый (REG_SZ) | Имя домена | Имя домена, в который выполняется вход |
Все эти параметры автоматом прописываются при использовании утилиты Autologon (ссылка выше):
Ее так же можно использовать при настройке в доменной сети. При необходимости запуск утилиты возможен и из командной строки путем ввода параметров
autologon user domain password
Соответственно, нужны имя пользователя, домен и пароль.
Автоматический вход в систему Windows 7 под любым пользователем
Теперь автоматический вход в систему будет осуществляется под определенной учетной записью. Как правило, это будет та запись под которой вход был осуществлен при последнем сеансе. Бывает, что нужно входить без ввода пароля, но под другим пользователем. У меня на компьютере две учетные записи.
Первое что делаем — настраиваем аналогичным способом автоматический вход на другую учетную запись. Далее, не обойтись без личного участия. При старте системы удерживаем клавишу Shift. При завершении сеанса или смене пользователя так же удерживаем клавишу Shift и тогда пароль вводить не нужно. Все же лучше организовывать вход под одной учеткой.
Источник
Друзья, глянул в «Аудит безопасности» на компе. Выдало такое:
Аудит успеха 15.04.2014 11:07:23 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 11:07:23 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 10:43:58 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 10:43:58 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 10:43:58 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 10:43:58 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:49 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:49 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:41 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:41 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:41 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:41 Microsoft Windows security auditing. 4648 Вход в систему
Аудит успеха 15.04.2014 8:24:19 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:18 Microsoft Windows security auditing. 5024 Другие системные события
Аудит успеха 15.04.2014 8:24:17 Microsoft Windows security auditing. 5033 Другие системные события
Аудит успеха 15.04.2014 8:24:17 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:17 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:16 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:15 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:15 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:15 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 8:24:15 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:14 Microsoft Windows security auditing. 4902 Аудит изменения политики
Аудит успеха 15.04.2014 8:24:13 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 8:24:13 Microsoft Windows security auditing. 4608 Изменение состояния безопасности
Аудит успеха 15.04.2014 8:23:24 Eventlog 1100 Завершение работы службы
Аудит успеха 15.04.2014 8:23:23 Microsoft Windows security auditing. 4647 Выход из системы
Аудит успеха 15.04.2014 7:43:22 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 7:43:22 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 7:43:22 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 7:43:22 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 5:57:19 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 5:57:19 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 5:57:11 Microsoft Windows security auditing. 4672 Специальный вход
Аудит успеха 15.04.2014 5:57:11 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 5:57:11 Microsoft Windows security auditing. 4624 Вход в систему
Аудит успеха 15.04.2014 5:57:11 Microsoft Windows security auditing. 4648 Вход в систему
Аудит успеха 15.04.2014 5:57:00 Microsoft Windows security auditing. 4624 Вход в системуВ 8:24:13 я опять включил комп (матери оставил, чтобы она в инете инфу поискала) и уехал на работу. Приехал почти в 19.00. Если зайти в любое из этих событий, то будет такое:
Вкладка «Общие»:
Новому сеансу входа назначены специальные привилегии.Субъект:
ИД безопасности: система
Имя учетной записи: система
Домен учетной записи: NT AUTHORITY
Код входа: 0x3e7Привилегии: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilegeВкладка «Подробности»:
+ System
— Provider
[ Name] Microsoft-Windows-Security-Auditing
[ Guid] {54849625-5478-4994-A5BA-3E3B0328C30D}EventID 4624
Version 0
Level 0
Task 12544
Opcode 0
Keywords 0x8020000000000000
— TimeCreated
[ SystemTime] 2014-04-15T08:07:23.476601900Z
EventRecordID 875
Correlation
— Execution
[ ProcessID] 572
[ ThreadID] 4780Channel Security
Computer fghjklPC
Security
— EventData
SubjectUserSid S-1-5-18
SubjectUserName FGHJKLPC$
SubjectDomainName WORKGROUP
SubjectLogonId 0x3e7
TargetUserSid S-1-5-18
TargetUserName система
TargetDomainName NT AUTHORITY
TargetLogonId 0x3e7
LogonType 5
LogonProcessName Advapi
AuthenticationPackageName Negotiate
WorkstationName
LogonGuid {00000000-0000-0000-0000-000000000000}
TransmittedServices —
LmPackageName —
KeyLength 0
ProcessId 0x224
ProcessName C:WindowsSystem32services.exe
IpAddress —
IpPort —Во всех событиях инфа приблизительно такая же.
Кто, что думает? Спасибо