Vous êtes actuellement hors ligne, en attente de reconnexion à Internet.

Événement de sécurité pour l'association d'événements d'ouverture de session du compte de services

Le support de Windows XP a pris fin

Microsoft a mis fin au support de Windows XP le 8 avril 2014. Cette modification a affecté vos mises à jour logicielles et options de sécurité. Découvrez les implications de ce changement à votre niveau et la marche à suivre pour rester protégé.

Ancien nº de publication de cet article : F274176
Résumé
Dans Windows 2000 et les versions antérieures de Windows, il n'était pas possible d'associer un événement d'ouverture de session de compte (événement de sécurité ID 528) avec un événement de création de processus pour un grand nombre de processus tels que les services. Toutefois, un administrateur peut désormais utiliser l'événement de sécurité ID 600 (compris dans Windows XP) pour effectuer cette association. Cet article explique comment interpréter le journal d'événements de sécurité afin de pouvoir analyser ces événements.
Plus d'informations
Si vous contrôlez les événements d'ouverture de session de compte, les événements d'ouverture de session et le suivi des processus, les cinq événements suivants sont enregistrés lors du démarrage d'un service avec un compte d'utilisateur :
  • Demande de ticket Kerberos
    (672 Ouverture de session de compte)
  • Ticket Kerberos attribué
    (673 Ouverture de session de compte)
  • Le compte ouvre une session
    (528 Ouverture/Fermeture de session)
  • Démarrage du processus du service
    (592 Suivi en détail)
  • Enregistrement du compte qui a démarré le service
    (600 Suivi en détail)
Les exemples d'événements suivant se produisent lors du démarrage du service d'enregistrement de licences à l'aide d'un compte de domaine.

Demande de ticket Kerberos

Type d'événement :	Contrôle du succèsSource d'événement :	SécuritéCatégorie d'événement :		Ouverture de session du compteID d'événements :         672Date :				08/14/2000Heure :				05:13:02Utilisateur :			NT AUTHORITY\SYSTEMOrdinateur :              <nom de l'ordinateur>Description:Demande du ticket d'authentification : 	Nom d'utilisateur :			<nom d'utilisateur> 	Nom du domaine fourni :			<nom du domaine> 	ID de l'utilisateur :			<nom du domaine>\<nom d'utilisateur> 	Nom du service :			<nom du service> 	ID du service :				<nom du domaine>\<nom du service> 	Options du ticket :						0x40810010 	Code de résultat : 			- 	Type de cryptage du ticket :		0x17 	Type d'authentification préliminaire :	2 	Adresse du client :						127.0.0.1

Ticket Kerberos attribué

Type d'événement :	Contrôle du succèsSource d'événement :	SécuritéCatégorie d'événement :		Ouverture de session du compteID d'événements :        673Date :				08/14/2000Heure :				05:13:02Utilisateur :			NT AUTHORITY\SYSTEMOrdinateur :             <nom de l'ordinateur>Description:Ticket Kerberos attribué : 	Nom d'utilisateur :			<nom d'utilisateur> 	Domaine de l'utilisateur :		<nom du domaine de l'utilisateur> 	Nom du service :			<nom de l'ordinateur>$ 	ID du service :				<nom du domaine de l'utilisateur>\<nom de l'ordinateur>$ 	Options du ticket :						0x40810010 	Type de cryptage du ticket :		0x17 	Adresse du client :						127.0.0.1

Le compte ouvre une session

Type d'événement :	Contrôle du succèsSource d'événement :	SécuritéCatégorie d'événement :		Ouverture/Fermeture de sessionID d'événements :         528Date :				08/14/2000Heure :				05:13:02Utilisateur :			<nom du domaine de l'utilisateur>\<nom d'utilisateur>Ordinateur :              <nom de l'ordinateur>Description:Ouverture de session menée à bien : 	Nom d'utilisateur :		<nom d'utilisateur> 	Domaine :				<nom du domaine> 	ID d'ouverture de session :		(0x0,0x1CBC6A) 	Type d'ouverture de session :	5 	Processus d'ouverture de session :	Advapi   	Package d'authentification :		Négocier 	Nom de la station de travail :		<nom de l'ordinateur>

Démarrage du processus du service

Type d'événement :	Contrôle du succèsSource d'événement :	SécuritéCatégorie d'événement :		Suivi en détailID d'événements :         592Date :				08/14/2000Heure :				05:13:02Utilisateur :			NT AUTHORITY\SYSTEMOrdinateur :              <nom de l'ordinateur>Description:Un nouveau processus a été créé : 	ID du nouveau processus :			2064 	Nom du fichier image :				C:\WINDOWS\system32\llssrv.exe 	ID du processus créateur :			264 	Nom d'utilisateur :		<nom de l'ordinateur>$ 	Domaine :					<nom du domaine> 	ID d'ouverture de session :			(0x0,0x3E7)

Enregistrement du compte qui a démarré le service

Type d'événement :	Contrôle du succèsSource d'événement :	SécuritéCatégorie d'événement :		Suivi en détailID d'événements :         600Date :				08/14/2000Heure :				05:13:02Utilisateur :			NT AUTHORITY\SYSTEMOrdinateur :              <nom de l'ordinateur>Description:Un jeton primaire a été attribué à un processus.  	ID du processus :		2064 	Nom du fichier image :				C:\WINDOWS\system32\llssrv.exe 	Nom d'utilisateur :		<nom d'utilisateur> 	Domaine :					<nom du domaine> 	ID d'ouverture de session :			(0x0,0x1CBC6A)
Propriétés

ID d'article : 274176 - Dernière mise à jour : 09/05/2001 11:00:00 - Révision : 1.0

  • Microsoft Windows XP Professionnel
  • kbinfo kbtool KB274176
Commentaires