новому сеансу входа назначены специальные привилегии что это
Новому сеансу входа назначены специальные привилегии что это
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Просматривая журнал событий Windows 2008 Server Standard, увидели, что есть иногда какие-то «входы» ночью в 00-13 или 03-00.
Просто в это время офис закрыт, никто не работает.
Вот скрин одного такого входа:
Ответы
Тип входа: 5 означает, что это вход службы.
Тип 2 это локальный вход
Тип 3 это вход по сети.
Все ответы
Прокрутите чуть ниже, там будет указан «тип входа»
Скорее всего запускается задача, скрипт и так далее.
Может дефрагментация диска, а может и вирусы.
аutobuh, думаю, не стоит волноваться. Все у Вас нормально. Это стандартные ивенты.
От имени учетной записи System работают некоторые службы. Посмотрите в планировщике, наверняка на 0:00 и 3:00 назначены какие-то задания, типа бэкапа или обновления чего-либо.
От имени учетной записи System работают некоторые службы. Посмотрите в планировщике, наверняка на 0:00 и 3:00 назначены какие-то задания, типа бэкапа или обновления чего-либо.
Там только одна наша обработка стоит на 12-30
Прокрутите чуть ниже, там будет указан «тип входа»
Скорее всего запускается задача, скрипт и так далее.
Может дефрагментация диска, а может и вирусы.
Имя журнала: Security
Подача: Microsoft-Windows-Security-Auditing
Дата: 09.06.2014 0:19:29
Код события: 4672
Категория задачи: Специальный вход
Уровень: Сведения
Ключевые слова: Аудит выполнен успешно
Пользователь: Н/Д
Компьютер: Server
Описание:
Новому сеансу входа назначены специальные привилегии.
Субъект:
ИД безопасности: S-1-5-18
Имя учетной записи: SYSTEM
Домен учетной записи: NT AUTHORITY
Код входа: 0x3e7
Тип входа: 5
Привилегии: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
4672(S): Специальные привилегии, присвоенные новому логотипу.
Описание события:
Это событие создает для новых логотипов учетных записей, если какие-либо из следующих конфиденциальных привилегий назначены на новый сеанс логотипа:
SeTcbPrivilege — act как часть операционной системы
SeBackupPrivilege — архивация файлов и каталогов
SeCreateTokenPrivilege — создание объекта маркера
SeDebugPrivilege — отлаживка программ
SeEnableDelegationPrivilege — позволяет доверять учетным записям компьютера и пользователей для делегирования
SeAuditPrivilege — создание аудита безопасности
SeImpersonatePrivilege — выдают себя за клиента после проверки подлинности
SeLoadDriverPrivilege — драйверы загрузки и разгрузки устройств
SeSecurityPrivilege — управление журналом аудита и безопасности
SeSystemEnvironmentPrivilege — изменение значений среды прошивки
SeAssignPrimaryTokenPrivilege — замена маркера уровня процессов
SeRestorePrivilege — восстановление файлов и каталогов,
SeTakeOwnershipPrivilege — владение файлами или другими объектами
Как правило, многие из этих событий можно увидеть в журнале событий, так как каждый логотип учетной записи SYSTEM (Local System) запускает это событие.
Примечание. Рекомендации приведены в разделе Рекомендации по мониторингу безопасности для этого события.
XML события:
Необходимые роли сервера: нет.
Минимальная версия ОС: Windows Server 2008, Windows Vista.
Версии события: 0.
Описания полей:
Тема:
Имя учетной записи [Type = UnicodeString]: имя учетной записи, которой были назначены специальные привилегии.
Account Domain [Type = UnicodeString]: домен субъекта или имя компьютера. Форматы различаются и включают в себя следующее:
Пример имени домена NETBIOS: CONTOSO
Полное имя домена в нижнем регистре: contoso.local
Полное имя домена в верхнем регистре: CONTOSO.LOCAL
Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, значение этого поля равно «NT AUTHORITY».
Для учетных записей локальных пользователей это поле будет содержать имя компьютера или устройства, к которым принадлежит эта учетная запись, например: «Win81».
Logon ID [Type = HexInt64]: шестнадцатеричное значение, которое может помочь сопоставить это событие с недавними событиями содержащими тот же идентификатор входа, например: “4624: Учетная запись успешно вошла в систему.”
Privileges [Type = UnicodeString]: список конфиденциальных привилегий, присвоенных новому логотипу. В следующей таблице содержится список возможных привилегий для этого события:
| Имя привилегий | Имя политики правой группы пользователя | Описание |
|---|---|---|
| SeAssignPrimaryTokenPrivilege | Замена маркера уровня процессов | Необходимо назначить основной маркер процесса. С помощью этой привилегии пользователь может инициировать процесс замены маркера по умолчанию, связанного с запущенным подпроцессом. |
| SeAuditPrivilege | Создание аудитов безопасности | С помощью этой привилегии пользователь может добавлять записи в журнал безопасности. |
| SeBackupPrivilege | Архивация файлов и каталогов | — Требуется для выполнения операций резервного копирования. С помощью этой привилегии пользователь может обходить файлы и каталоги, реестр и другие постоянные разрешения объекта для создания системы. Эта привилегия заставляет систему предоставлять все возможности управления доступом для чтения любому файлу независимо от списка управления доступом ** (ACL), заданного для файла. Любой запрос доступа, кроме чтения, по-прежнему оценивается с помощью ACL. Если эта привилегия будет предоставлена, будут предоставлены следующие права доступа: READ_CONTROL ACCESS_SYSTEM_SECURITY FILE_GENERIC_READ FILE_TRAVERSE |
| SeCreateTokenPrivilege | Создание маркерного объекта | Позволяет процессу создать маркер, который он может использовать для получения доступа к любым локальным ресурсам, когда в процессе используются API NtCreateToken или другие API создания маркеров. Если для процесса требуется эта привилегия, рекомендуется использовать учетную запись LocalSystem (которая уже включает эту привилегию), а не создавать отдельную учетную запись пользователя и назначать ее. |
| SeDebugPrivilege | Отладка программ | Требуется отламывка и настройка памяти процесса, который принадлежит другой учетной записи. С помощью этой привилегии пользователь может прикрепить отладка к любому процессу или к ядру. Рекомендуется всегда предоставлять SeDebugPrivilege администраторам и только администраторам. Разработчики, отладившие собственные приложения, не нуждаются в этом праве пользователя. Разработчики, отладившие новые компоненты системы, нуждаются в этом праве пользователя. Это право пользователя обеспечивает полный доступ к чувствительным и критически важным компонентам операционной системы. |
| SeEnableDelegationPrivilege | Разрешение доверия к учетным записям компьютеров и пользователей при делегировании | Необходимо отметить учетные записи пользователей и компьютеров как доверенные для делегирования. С помощью этой привилегии пользователь может установить параметр доверенныхдля делегирования ation на объекте пользователя или компьютера. Пользователь или объект, который получает эту привилегию, должен иметь доступ к флагам управления учетной записью на объекте пользователя или компьютера. Серверный процесс, работающий на компьютере (или в контексте пользователя), которому доверяется делегирование, может получать доступ к ресурсам на **** другом компьютере с помощью делегирования учетных данных клиента, если учетная запись клиента не имеет учетной записи, не может быть делегирована флаг управления учетной записью. |
| SeImpersonatePrivilege | Имитация клиента после проверки подлинности | С помощью этой привилегии пользователь может выдать себя за другие учетные записи. |
| SeLoadDriverPrivilege | Загрузка и выгрузка драйверов устройств | Требуется загрузить или выгрузить драйвер устройства. С помощью этой привилегии пользователь может динамически загружать и разгружать драйверы устройств или другой код в режиме ядра. Это право пользователя не применяется к драйверам устройств Plug и Play. |
| SeRestorePrivilege | Восстановление файлов и каталогов | Необходимые для выполнения операций восстановления. Эта привилегия заставляет систему предоставлять все управление доступом к записи любому файлу, независимо от ACL, указанного для файла. Любой запрос доступа, кроме записи, по-прежнему оценивается с помощью ACL. Кроме того, эта привилегия позволяет установить любого допустимого пользователя или группу SID в качестве владельца файла. Если эта привилегия будет предоставлена, будут предоставлены следующие права доступа: WRITE_DAC WRITE_OWNER ACCESS_SYSTEM_SECURITY FILE_GENERIC_WRITE FILE_ADD_FILE FILE_ADD_SUBDIRECTORY DELETE С помощью этой привилегии пользователь может обходить разрешения файлов, каталогов, реестров и других постоянных объектов при восстановлении архивных файлов и каталогов и определяет, какие пользователи могут установить любого допустимого директора безопасности в качестве владельца объекта. |
| SeSecurityPrivilege | Управление журналом аудита и безопасности | Требуется выполнять ряд функций, связанных с безопасностью, таких как управление и просмотр событий аудита в журнале событий безопасности. С помощью этой привилегии пользователь может указать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и клавиши реестра. Пользователь с этой привилегией также может просматривать и очищать журнал безопасности. |
| SeSystemEnvironmentPrivilege | Изменение параметров среды изготовителя | Требуется изменить невольную оперативную память систем, которые используют этот тип памяти для хранения сведений о конфигурации. |
| SeTakeOwnershipPrivilege | Смена владельцев файлов и других объектов | Обязательное право собственности на объект без предоставления дискреционного доступа. Эта привилегия позволяет задать значение владельца только тем значениям, которые владелец может законно назначить в качестве владельца объекта. С помощью этой привилегии пользователь может взять на себя ответственность за любой объект в системе, в том числе объекты Active Directory, файлы и папки, принтеры, ключи реестра, процессы и потоки. |
| SeTcbPrivilege | Работа в режиме операционной системы | Эта привилегия определяет своего владельца как часть надежной компьютерной базы. Это право пользователя позволяет процессу выдать себя любому пользователю без проверки подлинности. Таким образом, этот процесс может получить доступ к тем же локальным ресурсам, что и этот пользователь. |
Рекомендации по контролю безопасности
Для 4672 (S): Специальные привилегии, присвоенные новому логотипу.
Монитор этого события, в котором «Subject\Security ID» не является одним из этих известных принципов безопасности: LOCAL SYSTEM, NETWORK SERVICE, LOCAL SERVICE, и где «Subject\Security ID» не является административной учетной записью, которая, как ожидается, будет иметь перечисленные привилегии. **
Если у вас есть список определенных привилегий, которые никогда не должны предоставляться или предоставляться только нескольким учетным записям (например, SeDebugPrivilege), используйте это событие для мониторинга этих «привилегий».
Новому сеансу входа назначены специальные привилегии что это
Вопрос
не удаётся подключиться к сессии пользователя на терминальном сервере (при подключении выходит окно с заголовком «ошибка теневого доступа» и сообщением «неопознанная ошибка»), моя учетная запись является членом группы администраторы домена. сегодня было обновление KB4056895 (но так как это обновление выпущено только в январе 2018 а ошибка на просторах technet’a уже давно, думаю дело не в обновлении). в журнале безопасности регистрируются ошибки:
1) Новому сеансу входа назначены специальные привилегии.
Субъект:
ИД безопасности: ALA\30239_admin
Имя учетной записи: 30239_admin
Домен учетной записи: ALA
Код входа: 0x4A1D4DA
Привилегии: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
2) Вход с учетной записью выполнен успешно.
Уровень олицетворения: Олицетворение
Новый вход:
ИД безопасности: ALA\30239_admin
Имя учетной записи: 30239_admin
Домен учетной записи: ALA
Код входа: 0x4A1D4DA
GUID входа:
Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.
Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле «Тип входа» указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).
Поля «Новый вход» указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.
В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поле «Уровень олицетворения» задает допустимую степень олицетворения для процессов в данном сеансе входа в систему.
3) Запрошен дескриптор объекта.
Субъект:
ИД безопасности: ALA\30239_admin
Имя учетной записи: 30239_admin
Домен учетной записи: ALA
ИД входа: 0x4A1D4DA
Объект:
Сервер объекта: WS-Management Listener
Тип объекта: Unknown
Имя объекта: Unknown
Код дескриптора: 0x0
Сведения о процессе:
ИД процесса: 0x518
Имя процесса: C:\Windows\System32\svchost.exe
4) Выполнен выход учетной записи из системы.
Субъект:
ИД безопасности: ALA\30239_admin
Имя учетной записи: 30239_admin
Домен учетной записи: ALA
Код входа: 0x4A1D4DA
Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения «Код входа». Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
5) Выполнен выход учетной записи из системы.
Субъект:
ИД безопасности: ALA\30239_admin
Имя учетной записи: 30239_admin
Домен учетной записи: ALA
Код входа: 0x4A1D286
Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения «Код входа». Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
6) Новому сеансу входа назначены специальные привилегии.
Субъект:
ИД безопасности: ALA\30239_admin
Имя учетной записи: 30239_admin
Домен учетной записи: ALA
Код входа: 0x4A1D567
Привилегии: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
7) Платформа фильтрации Windows разрешила подключение.
Сведения о приложении:
Идентификатор процесса: 5540
Имя приложения: \device\harddiskvolume2\windows\system32\svchost.exe
Сведения о сети:
Направление: Входящие
Адрес источника: 10.1.0.41
Порт источника: 3389
Адрес назначения: 10.1.2.71
Порт назначения: 52982
Протокол: 6
Сведения о фильтре:
Код выполнения фильтра: 67051
Имя уровня: Получить/Принять
Код выполнения уровня: 44
8) Выполнен выход учетной записи из системы.
Субъект:
ИД безопасности: ALA\30239_admin
Имя учетной записи: 30239_admin
Домен учетной записи: ALA
Код входа: 0x4A1D567
Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения «Код входа». Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
9) Логи по пути: Просмотр событий-журналы приложений и служб-Microsoft-Windows-RemoteDesktopServices-RdpCoreTS
Функция обнаружения характеристик сети отключена. Причина: Reason Code: 2(Server Configuration).. код 101,Модуль RemoteFX,
Функция обнаружения характеристик сети отключена. Причина: Reason Code: 1(Client not supported)..код 101,Модуль RemoteFX,
4627 (S): Сведения о членстве в группе.
Описание события:
Это событие создается с помощью»4624(S): учетная запись успешно вошел в систему» и показывает список групп, к которой принадлежит учетная запись в журнале.
Необходимо также включить аудит успешности подкатегории Audit Logon для получения этого события.
Если данные о членстве в группах не помещаются в одном событии аудита безопасности, создаются несколько событий.
Рекомендации см. в Рекомендации мониторинга безопасности для этого события.
XML события:
Необходимые роли сервера: нет.
Минимальная версия ОС: Windows Server 2016, Windows 10.
Версии события: 0.
Описания полей:
Тема:
Security ID [Type = SID]: SID учетной записи, которая сообщила сведения об успешном логотипе или вызывает его. Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные.
Идентификатор безопасности (SID) — это уникальное значение переменной длины, используемое для идентификации доверяемого (доверителем безопасности). Каждая учетная запись имеет уникальный идентификатор безопасности, выданный центром сертификации, таким как контроллер домена Active Directory, который хранится в базе данных безопасности. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности этого пользователя из базы данных и помещает ее в маркер доступа этого пользователя. Система использует идентификатор безопасности в маркере доступа для идентификации пользователя во всех последующих операциях с Безопасностью Windows. Если идентификатор SID использовался как уникальный идентификатор для пользователя или группы, он не может использоваться повторно для идентификации другого пользователя или группы. Дополнительные сведения о SID см. в разделе Идентификаторы безопасности.
Имя учетной записи [Type = UnicodeString]: имя учетной записи, которая сообщила сведения об успешном логотипе или вызывает его.
Account Domain [Type = UnicodeString]: домен субъекта или имя компьютера. Форматы различаются и включают в себя следующее:
Пример имени домена NETBIOS: CONTOSO
Полное имя домена в нижнем регистре: contoso.local
Полное имя домена в верхнем регистре: CONTOSO.LOCAL
Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, значение этого поля равно «NT AUTHORITY».
Для учетных записей локальных пользователей это поле будет содержать имя компьютера или устройства, к которым принадлежит эта учетная запись, например: «Win81».
Logon ID [Type = HexInt64]: шестиугольное значение, которое может помочь вам соотнести это событие с недавними событиями, которые могут содержать один и тот же ID Logon, например,»4672(S): Специальные привилегии, назначенные новому логотипу».
Тип logon [Type = UInt32]: тип логотипа, который был выполнен. В таблице ниже приведен список возможных значений для этого поля:
| Тип входа в систему | Название типа входа | Описание |
|---|---|---|
| 2 | Interactive (Интерактивные) | Пользователь успешно вошел в систему на данном компьютере. |
| 3 | Network | Пользователь или компьютер вошли в систему на данном компьютере через сеть. |
| 4 | Batch | Пакетный тип входа используется пакетными серверами, исполнение процессов на которых производится по поручению пользователя, но без его прямого вмешательства. |
| 5 | Обслуживание | Служба была запущена диспетчером служб. |
| 7 | Unlock | Эта рабочая станция была разблокирована. |
| 8 | NetworkClearText | Пользователь вошел в систему на данном компьютере через сеть. Пароль пользователя передан в пакет проверки подлинности в нехешированной форме. Встроенная проверка подлинности упаковывает все хешированные учетные записи перед их отправкой через сеть. Учетные данные не передаются через сеть открытым текстом. |
| 9 | NewCredentials | Инициатор вызова клонировал свой текущий маркер и указал новые учетные данные для исходящих соединений. Новый сеанс входа в систему имеет то же самое локальное удостоверение, но использует другие учетные данные для других сетевых соединений. |
| 10 | RemoteInteractive | Пользователь выполнил вход в систему на этом компьютере через службы терминалов или удаленного рабочего стола. |
| 11 | CachedInteractive | Пользователь выполнил вход в систему на этом компьютере с сетевыми учетными данными, которые хранились локально на компьютере. Контроллер домена не использовался для проверки учетных данных. |
Новый логотип:
Security ID [Type = SID]: SID учетной записи, для которой был выполнен логотип. Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные.
Идентификатор безопасности (SID) — это уникальное значение переменной длины, используемое для идентификации доверяемого (доверителем безопасности). Каждая учетная запись имеет уникальный идентификатор безопасности, выданный центром сертификации, таким как контроллер домена Active Directory, который хранится в базе данных безопасности. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности этого пользователя из базы данных и помещает ее в маркер доступа этого пользователя. Система использует идентификатор безопасности в маркере доступа для идентификации пользователя во всех последующих операциях с Безопасностью Windows. Если идентификатор SID использовался как уникальный идентификатор для пользователя или группы, он не может использоваться повторно для идентификации другого пользователя или группы. Дополнительные сведения о SID см. в разделе Идентификаторы безопасности.
Имя учетной записи [Type = UnicodeString]: имя учетной записи, для которой был выполнен логотип.
Account Domain [Type = UnicodeString]: домен субъекта или имя компьютера. Форматы различаются и включают в себя следующее:
Пример имени домена NETBIOS: CONTOSO
Полное имя домена в нижнем регистре: contoso.local
Полное имя домена в верхнем регистре: CONTOSO.LOCAL
Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, значение этого поля равно «NT AUTHORITY».
Для учетных записей локальных пользователей это поле будет содержать имя компьютера или устройства, к которым принадлежит эта учетная запись, например: «Win81».
Logon ID [Type = HexInt64]: шестиугольное значение, которое может помочь вам соотнести это событие с недавними событиями, которые могут содержать один и тот же ID Logon, например,»4672(S): Специальные привилегии, назначенные новому логотипу».
Событие в последовательности [Тип = UInt32]: Я f есть не хватает места в одном событии, чтобы поместить все группы, вы увидите «1 N» в этом поле и дополнительные события будут созданы. Обычно это поле имеет значение «1 из 1».
Членство в группе [Type = UnicodeString]: список групп siDs, к которым принадлежит учетная запись (член). Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные.
Рекомендации по контролю безопасности
Сведения о членстве в группе 4627 (S).
В этом событии также см. рекомендации по мониторингу безопасности для многих событий аудита.