Cómo interpretar este registro de inicio de sesión desde Windows

Fuente:4672: privilegios especiales asignados al nuevo inicio de sesión

Este evento le permite saber cuándo inicia sesión una cuenta a la que se le han asignado derechos de usuario "equivalentes a administrador". Por ejemplo, verá el evento 4672 muy cerca de los eventos de inicio de sesión (4624) para los administradores, ya que los administradores tienen la mayoría de estos derechos equivalentes a los de administrador.

Por lo tanto, este es un derecho útil para detectar cualquier inicio de sesión en una cuenta de "superusuario". Por supuesto, este derecho se registra para cualquier servidor o cuenta de aplicación que inicie sesión como un trabajo por lotes (tarea programada) o servicio del sistema. Consulte Tipo de inicio de sesión: en el ID de evento 4624. Puede correlacionar 4672 con 4624 mediante el ID de inicio de sesión:.

Nota: "Derechos de usuario" y "privilegios" son términos sinónimos que se usan indistintamente en Windows.

Los derechos equivalentes a los de administrador son autoridades poderosas que le permiten eludir otros controles de seguridad en Windows. La mayoría de los privilegios equivalentes de administrador están destinados a servicios y aplicaciones que interactúan estrechamente con el sistema operativo. Con sólo unas pocas excepciones, la mayoría de los privilegios equivalentes de administrador no necesitan ni deben otorgarse a cuentas de usuarios humanos.

Alguna documentación de Microsoft incluye esto en la subcategoría "Uso de privilegios sensibles/Uso de privilegios no sensibles". Sin embargo, nuestras pruebas encuentran esto en la categoría "Inicio de sesión especial".

Para saber más necesitamos el contenido del evento.

Verifique el evento de inicio de sesión regular asociado (4624) con el mismo LogonID del evento 4672.