So interpretieren Sie dieses Anmeldeprotokoll von Windows

Question 1

Quelle:4672: Der neuen Anmeldung werden besondere Privilegien zugewiesen

Dieses Ereignis informiert Sie, wenn sich ein Konto mit „administratoräquivalenten“ Benutzerrechten anmeldet. Beispielsweise wird das Ereignis 4672 in unmittelbarer Nähe zu Anmeldeereignissen (4624) für Administratoren angezeigt, da Administratoren die meisten dieser adminäquivalenten Rechte besitzen.

Dies ist also ein nützliches Recht zum Erkennen von Anmeldungen über „Superuser“-Konten. Natürlich wird dieses Recht für alle Server- oder Anwendungskonten protokolliert, die sich als Batch-Job (geplante Aufgabe) oder Systemdienst anmelden. Siehe Anmeldetyp: bei Ereignis-ID 4624. Sie können 4672 mit 4624 anhand der Anmelde-ID: korrelieren.

Hinweis: „Benutzerrechte“ und „Privilegien“ sind synonyme Begriffe, die in Windows synonym verwendet werden.

Administratorrechte sind umfassende Befugnisse, mit denen Sie andere Sicherheitskontrollen in Windows umgehen können. Die meisten Administratorrechte sind für Dienste und Anwendungen vorgesehen, die eng mit dem Betriebssystem interagieren. Mit nur wenigen Ausnahmen müssen und sollten die meisten Administratorrechte menschlichen Benutzerkonten nicht gewährt werden.

In einigen Microsoft-Dokumentationen wird dies in die Unterkategorie „Verwendung vertraulicher Berechtigungen/Verwendung nicht vertraulicher Berechtigungen“ eingeordnet. Unsere Tests haben dies jedoch in die Kategorie „Spezielle Anmeldung“ eingeordnet.

Um mehr zu erfahren, benötigen wir den Inhalt der Veranstaltung.

Answer

Quelle:4672: Der neuen Anmeldung werden besondere Privilegien zugewiesen

Dieses Ereignis informiert Sie, wenn sich ein Konto mit „administratoräquivalenten“ Benutzerrechten anmeldet. Beispielsweise wird das Ereignis 4672 in unmittelbarer Nähe zu Anmeldeereignissen (4624) für Administratoren angezeigt, da Administratoren die meisten dieser adminäquivalenten Rechte besitzen.

Dies ist also ein nützliches Recht zum Erkennen von Anmeldungen über „Superuser“-Konten. Natürlich wird dieses Recht für alle Server- oder Anwendungskonten protokolliert, die sich als Batch-Job (geplante Aufgabe) oder Systemdienst anmelden. Siehe Anmeldetyp: bei Ereignis-ID 4624. Sie können 4672 mit 4624 anhand der Anmelde-ID: korrelieren.

Hinweis: „Benutzerrechte“ und „Privilegien“ sind synonyme Begriffe, die in Windows synonym verwendet werden.

Administratorrechte sind umfassende Befugnisse, mit denen Sie andere Sicherheitskontrollen in Windows umgehen können. Die meisten Administratorrechte sind für Dienste und Anwendungen vorgesehen, die eng mit dem Betriebssystem interagieren. Mit nur wenigen Ausnahmen müssen und sollten die meisten Administratorrechte menschlichen Benutzerkonten nicht gewährt werden.

In einigen Microsoft-Dokumentationen wird dies in die Unterkategorie „Verwendung vertraulicher Berechtigungen/Verwendung nicht vertraulicher Berechtigungen“ eingeordnet. Unsere Tests haben dies jedoch in die Kategorie „Spezielle Anmeldung“ eingeordnet.

Um mehr zu erfahren, benötigen wir den Inhalt der Veranstaltung.

Question 2

Überprüfen Sie das zugehörige reguläre Anmeldeereignis (4624) mit derselben LogonID wie das Ereignis 4672.

Answer

Überprüfen Sie das zugehörige reguläre Anmeldeereignis (4624) mit derselben LogonID wie das Ereignis 4672.

So interpretieren Sie dieses Anmeldeprotokoll von Windows

Antwort1

Antwort2

verwandte Informationen