Как интерпретировать этот журнал входа в систему из Windows

Источник:4672: Особые привилегии, назначенные новому входу в систему

Это событие позволяет вам узнать, когда учетная запись, назначенная на какие-либо права пользователя "эквивалент администратора", входит в систему. Например, вы увидите событие 4672 в непосредственной близости от событий входа (4624) для администраторов, поскольку администраторы имеют большинство этих прав, эквивалентных администраторам.

Итак, это полезное право для обнаружения любых входов в систему учетных записей "суперпользователя". Конечно, это право регистрируется для любых учетных записей сервера или приложений, входящих в систему как пакетное задание (запланированная задача) или системная служба. Смотрите Тип входа: в событии с идентификатором 4624. Вы можете сопоставить 4672 с 4624 по идентификатору входа:.

Примечание: «Права пользователя» и «привилегии» — это синонимичные термины, взаимозаменяемые в Windows.

Права, эквивалентные правам администратора, — это мощные полномочия, которые позволяют обходить другие элементы управления безопасностью в Windows. Большинство привилегий, эквивалентных административным, предназначены для служб и приложений, которые тесно взаимодействуют с операционной системой. За несколькими исключениями, большинство привилегий, эквивалентных административным, не нужно и не следует предоставлять учетным записям пользователей-людей.

В некоторых документах Microsoft это отнесено к подкатегории «Sensitive Privilege Use / Non-Sensitive Privilege Use». Однако наше тестирование находит это в категории «Special Logon».

Чтобы узнать больше, нам необходимо содержание мероприятия.

Проверьте связанное событие обычного входа в систему (4624) с тем же LogonID, что и у события 4672.