События безопасности для связывания события входа учетной записи службы

Поддержка Windows XP завершена

8 апреля 2014 г. корпорация Майкрософт прекратила поддержку Windows XP. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.

Эта статья на английском языке:274176
Эта статья помещена в архив. Она предлагается "как есть" и обновляться не будет.
Аннотация
В Windows 2000 и более ранних версиях Windows не удалось сопоставить событие входа в систему учетную запись (безопасности события ID 528) события создания процессов для многих процессов, таких как службы. Однако администратор может использовать событие ID 600 (входит в состав Windows XP) для данного сопоставления. В данной статье описывается, как интерпретировать журнал событий безопасности, чтобы понять эти события.
Дополнительная информация
Если производится аудит событий входа в систему событий входа в систему и отслеживания процессов, следующие пять событий при запуске службы с учетной записью:
  • Запрос билета Kerberos
    (672 Входа для учетной записи)
  • Предоставленные билета Kerberos
    (673 Входа для учетной записи)
  • Учетная запись входит в систему
    (528 Вход/выход)
  • Начнется процесс обновления
    (592 Подробное отслеживание)
  • Учетная запись, которая запущена служба регистрации
    (600 Подробное отслеживание)
Происходят следующие события пример, где запущена служба учета лицензий с помощью учетной записи домена.

Запрос билета Kerberos

Event Type:  Success AuditEvent Source:  SecurityEvent Category:  Account Logon Event ID:         672Date:    08/14/2000Time:    05:13:02User:    NT AUTHORITY\SYSTEMComputer:         <computer name>Description:Authentication Ticket Request:   User Name:    <user name>   Supplied Realm Name:  <realm name>   User ID:                  <realm name>\<user name>   Service Name:    <service name>   Service ID:    <realm name>\<service name>   Ticket Options:    0x40810010   Result Code:    -   Ticket Encryption Type:  0x17   Pre-Authentication Type:  2   Client Address:    127.0.0.1				

Предоставленные билета Kerberos

Event Type:  Success AuditEvent Source:  SecurityEvent Category:  Account Logon Event ID:         673Date:    08/14/2000Time:    05:13:02User:    NT AUTHORITY\SYSTEMComputer:         <computer name>Description:Service Ticket Granted:   User Name:    <user name>   User Domain:    <user domain name>   Service Name:    <computer name>$   Service ID:    <user domain name>\<computer name>$   Ticket Options:    0x40810010   Ticket Encryption Type:  0x17   Client Address:    127.0.0.1				

Учетная запись входит в систему

Event Type:  Success AuditEvent Source:  SecurityEvent Category:  Logon/Logoff Event ID:         528Date:    08/14/2000Time:    05:13:02User:    <user domain name>\<user name>Computer:         <computer name>Description:Successful Logon:   User Name:  <user name>   Domain:    <domain name>   Logon ID:    (0x0,0x1CBC6A)   Logon Type:  5   Logon Process:  Advapi     Authentication Package:  Negotiate   Workstation Name:  <computer name>				

Процесс запуска службы

Event Type:  Success AuditEvent Source:  SecurityEvent Category:  Detailed Tracking Event ID:         592Date:    08/14/2000Time:    05:13:02User:    NT AUTHORITY\SYSTEMComputer:         <computer name>Description:A new process has been created:   New Process ID:  2064   Image File Name:  C:\WINDOWS\system32\llssrv.exe   Creator Process ID:  264   User Name:  <computer name>$   Domain:    <domain name>   Logon ID:    (0x0,0x3E7)				

Учетная запись, которая запущена служба регистрации

Event Type:  Success AuditEvent Source:  SecurityEvent Category:  Detailed Tracking Event ID:         600Date:    08/14/2000Time:    05:13:02User:    NT AUTHORITY\SYSTEMComputer:         <computer name>Description:A process was assigned a primary token.    Process ID:  2064   Image File Name:  C:\WINDOWS\system32\llssrv.exe   User Name:  <user name>   Domain:    <domain name>   Logon ID:    (0x0,0x1CBC6A)				

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 274176 — последний просмотр: 12/05/2015 21:49:22 — редакция: 4.0

Microsoft Windows XP Professional

  • kbnosurvey kbarchive kbinfo kbmt KB274176 KbMtru
Отзывы и предложения