Sicherheitsereignis zum Zuordnen von Kontoanmeldeereignissen für Dienste

Der Support für Windows XP wurde eingestellt

Microsoft stellte am 8. April 2014 den Support für Windows XP ein. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Dieser Artikel wurde zuvor veröffentlicht unter D274176
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
274176 Security Event for Associating Service Account Logon Events
Zusammenfassung
In Windows 2000 und früheren Versionen von Windows war es für viele Prozesse, wie zum Beispiel Dienste, nicht möglich, ein Kontoanmeldeereignis (Sicherheitsereignis-ID 528) einem Prozesserstellungsereignis zuzuordnen. Ein Administrator kann jedoch die Sicherheitsereignis-ID 600 (ist in Windows XP enthalten) verwenden, um diese Zuordnung herzustellen. In diesem Artikel wird beschrieben, wie Sie das Sicherheitsereignisprotokoll interpretieren müssen, um diese Ereignisse besser zu verstehen.
Weitere Informationen
Wenn Sie Kontoanmeldeereignisse, Anmeldeereignisse und Prozessverfolgung überwachen, werden die folgenden fünf Ereignisse protokolliert, wenn ein Dienst mit einem Benutzerkonto gestartet wird:
  • Kerberos-Ticket anfordern
    (672 Account Logon = Kontoanmeldung)
  • Kerberos-Ticket ist gewährt
    (673 Account Logon = Kontoanmeldung)
  • Konto wird angemeldet
    (528 Anmeldung/Abmeldung = Anmelden/Abmelden)
  • Dienstprozess wird gestartet
    (592 Ausführliche Überwachung = Detaillierte Verfolgung)
  • Konto, das den Dienst gestartet hat, wird protokolliert
    (600 Ausführliche Überwachung = Detaillierte Verfolgung)
Die folgenden Beispielereignisse treten ein, wenn der Lizenzprotokollierdienst unter Verwendung eines Domänenkontos gestartet wird.

Kerberos-Ticket anfordern

Ereignistyp:       ErfolgsüberwachungEreignisquelle:    SicherheitEreigniskategorie: Account Logon Ereigniskennung:   672Datum:             08/14/2000Uhrzeit:           05:13:02Benutzer:          NT AUTHORITY\SYSTEMComputer:          <Computername>Beschreibung:Anfrage für Authentifizierungsticket: 	Benutzername:               <Benutzername> 	Angegebener Bereichsname:   <Bereichsname> 	Benutzerkennung:            <Bereichsname>\<Benutzername> 	Dienstname:                 <Dienstname> 	Dienstkennung:              <Bereichsname>\<Dienstname> 	Ticketoptionen:             0x40810010 	Result Code:                 - 	Ticketverschlüsselungstyp:  0x17 	Vorauthentifizierungstyp:   2 	Clientadresse:              127.0.0.1

Kerberos-Ticket ist gewährt

Ereignistyp:       ErfolgsüberwachungEreignisquelle:    SecurityEreigniskategorie: Account Logon Ereigniskennung:   673Datum:             08/14/2000Uhrzeit:           05:13:02Benutzer:          NT AUTHORITY\SYSTEMComputer:          <Computername>Beschreibung:Genehmigtes Authentifizierungsticket: 	Benutzername:              <Benutzername> 	User Domain:               <Benutzerdomänenname> 	Dienstname:                <Computername>$ 	Dienstkennung:             <Benutzerdomänenname>\<Computername>$ 	Ticketoptionen:            0x40810010 	Ticketverschlüsselungstyp: 0x17 	Clientadresse:             127.0.0.1

Konto wird angemeldet

Ereignistyp:       ErfolgsüberwachungEreignisquelle:    SecurityEreigniskategorie: Anmeldung/Abmeldung Ereigniskennung:   528Datum:             08/14/2000Uhrzeit:           05:13:02Benutzer:          <Benutzerdomänenname>\<Benutzername>Computer:          <Computername>Beschreibung:Erfolgreiche Anmeldung: 	Benutzername:           <Benutzername> 	Domäne:                 <Domänenname> 	Anmeldekennung:         (0x0,0x1CBC6A) 	Logon Type:             5 	Anmeldeprozess:         Advapi   	Authentication Package: Negotiate 	Workstation Name:       <Computername>

Dienstprozess wird gestartet

Ereignistyp:       ErfolgsüberwachungEreignisquelle:    SicherheitEreigniskategorie: Ausführliche Überwachung Ereignisskennung:  592Datum:             08/14/2000Uhrzeit:           05:13:02Benutzer:          NT AUTHORITY\SYSTEMComputer:          <Computername>Beschreibung:Ein neuer Prozess wurde erstellt: 	Neue Prozesskennung:      2064 	Bilddateiname:            C:\WINDOWS\system32\llssrv.exe 	Erstellte Prozesskennung: 264 	Benutzername:             <Computername>$ 	Domäne:                   <Domänenname> 	Anmeldekennung:           (0x0,0x3E7)

Konto, das den Dienst gestartet hat, wird protokolliert

Ereignistyp:       ErfolgsüberwachungEreignisquelle:    SicherheitEreigniskategorie: Ausführliche Überwachung Ereignisskennung:  600Datum:             08/14/2000Uhrzeit:           05:13:02Benutzer:          NT AUTHORITY\SYSTEMComputer:          <Computername>Beschreibung:Einem Prozess wurde ein primäres Token zugewiesen.  	Prozesskennung:         2064 	Bilddateiname:          C:\WINDOWS\system32\llssrv.exe 	Benutzername:           <Benutzername> 	Domäne:                 <Domänenname> 	Anmeldekennung:         (0x0,0x1CBC6A)


Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 274176 – Letzte Überarbeitung: 12/05/2015 21:49:15 – Revision: 1.0

Microsoft Windows XP Professional Edition

  • kbnosurvey kbarchive kbinfo kbtool KB274176
Feedback