| | | | | | | | | |
|
| | | Имя протокола | Тип события | Категория | Дата создания | Пользователь | Источник | Описание
|
| | | Приложение | Ошибка | Нет | 2020-04-16 01:49:22 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007139F Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=TimerEvent
|
| | | Приложение | Ошибка | Нет | 2020-04-16 01:49:26 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007139F Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-16 01:49:52 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=6
|
| | | Приложение | Ошибка | Нет | 2020-04-16 01:53:37 | AdminKSN | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-16 01:53:37 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\WINDOWS\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-16 01:53:37 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-16 01:53:37 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "MSDTC" в библиотеке DLL "C:\WINDOWS\system32\msdtcuiu.DLL" не удалась с кодом ошибки 2147942402. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-16 01:53:37 | AdminKSN | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-16 01:53:37 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\WINDOWS\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Ошибка | Нет | 2020-04-16 10:46:26 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007139F Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-16 10:49:32 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | | Приложение | Внимание | Нет | 2020-04-16 10:53:19 | User | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\WINDOWS\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-16 10:53:19 | User | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Ошибка | Нет | 2020-04-16 10:53:20 | User | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-16 10:53:20 | User | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "MSDTC" в библиотеке DLL "C:\WINDOWS\system32\msdtcuiu.DLL" не удалась с кодом ошибки 2147942402. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-16 10:53:20 | User | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-16 10:53:20 | User | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\WINDOWS\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Ошибка | Нет | 2020-04-16 10:59:54 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=2
|
| | | Приложение | Ошибка | Нет | 2020-04-16 11:00:28 | СИСТЕМА | Microsoft-Windows-Perflib | 1023: Windows не удалось загрузить библиотеку DLL расширяемого счетчика "C:\WINDOWS\system32\sysmain.dll" (код ошибки Win32: 126).
|
| | | Приложение | Ошибка | Нет | 2020-04-16 11:03:42 | AdminKSN | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-16 11:03:42 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы ".NETFramework" в библиотеке DLL "C:\WINDOWS\system32\mscoree.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-16 11:03:42 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\WINDOWS\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-16 11:03:42 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-16 11:03:42 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "MSDTC" в библиотеке DLL "C:\WINDOWS\system32\msdtcuiu.DLL" не удалась с кодом ошибки 2147942402. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-16 11:03:42 | AdminKSN | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-16 11:03:42 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\WINDOWS\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Ошибка | Нет | 2020-04-16 12:29:02 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-16 12:29:05 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | | Приложение | Ошибка | Нет | 2020-04-16 12:32:53 | AdminKSN | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-16 12:32:53 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\WINDOWS\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-16 12:32:53 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-16 12:32:53 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "MSDTC" в библиотеке DLL "C:\WINDOWS\system32\msdtcuiu.DLL" не удалась с кодом ошибки 2147942402. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-16 12:32:53 | AdminKSN | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-16 12:32:53 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\WINDOWS\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Ошибка | Нет | 2020-04-16 14:07:06 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-17 00:25:18 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007139F Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-17 00:25:32 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | | Приложение | Ошибка | Нет | 2020-04-17 00:29:23 | AdminKSN | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-17 00:29:23 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы ".NETFramework" в библиотеке DLL "C:\WINDOWS\system32\mscoree.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-17 00:29:23 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\WINDOWS\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-17 00:29:23 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-17 00:29:23 | AdminKSN | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-17 00:29:23 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\WINDOWS\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Ошибка | Нет | 2020-04-17 08:51:13 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-17 08:51:18 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-17 23:19:33 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-17 23:19:41 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-17 23:19:44 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=2
|
| | | Приложение | Ошибка | Нет | 2020-04-17 23:20:27 | СИСТЕМА | Microsoft-Windows-Perflib | 1023: Windows не удалось загрузить библиотеку DLL расширяемого счетчика "C:\WINDOWS\system32\sysmain.dll" (код ошибки Win32: 126).
|
| | | Приложение | Ошибка | Нет | 2020-04-17 23:23:30 | AdminKSN | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-17 23:23:30 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы ".NETFramework" в библиотеке DLL "C:\WINDOWS\system32\mscoree.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-17 23:23:30 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\WINDOWS\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-17 23:23:30 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-17 23:23:30 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "MSDTC" в библиотеке DLL "C:\WINDOWS\system32\msdtcuiu.DLL" не удалась с кодом ошибки 2147942402. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-17 23:23:30 | AdminKSN | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-17 23:23:30 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\WINDOWS\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Ошибка | Нет | 2020-04-18 08:29:21 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-18 08:29:27 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-18 10:54:48 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-19 02:19:57 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-19 02:20:06 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-19 02:20:09 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=3
|
| | | Приложение | Ошибка | Нет | 2020-04-19 02:20:31 | СИСТЕМА | Microsoft-Windows-Perflib | 1023: Windows не удалось загрузить библиотеку DLL расширяемого счетчика "C:\WINDOWS\system32\sysmain.dll" (код ошибки Win32: 126).
|
| | | Приложение | Ошибка | Нет | 2020-04-19 02:23:30 | AdminKSN | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-19 02:23:30 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы ".NETFramework" в библиотеке DLL "C:\WINDOWS\system32\mscoree.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-19 02:23:30 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\WINDOWS\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-19 02:23:30 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-19 02:23:30 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "MSDTC" в библиотеке DLL "C:\WINDOWS\system32\msdtcuiu.DLL" не удалась с кодом ошибки 2147942402. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-19 02:23:30 | AdminKSN | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-19 02:23:30 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\WINDOWS\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Ошибка | Нет | 2020-04-20 03:45:40 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007139F Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=TimerEvent
|
| | | Приложение | Ошибка | Нет | 2020-04-20 03:45:49 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-20 03:45:54 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=4
|
| | | Приложение | Ошибка | Нет | 2020-04-20 03:46:31 | СИСТЕМА | Microsoft-Windows-Perflib | 1023: Windows не удалось загрузить библиотеку DLL расширяемого счетчика "C:\WINDOWS\system32\sysmain.dll" (код ошибки Win32: 126).
|
| | | Приложение | Ошибка | Нет | 2020-04-20 03:49:46 | AdminKSN | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-20 03:49:46 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы ".NETFramework" в библиотеке DLL "C:\WINDOWS\system32\mscoree.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-20 03:49:46 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\WINDOWS\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-20 03:49:46 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-20 03:49:46 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "MSDTC" в библиотеке DLL "C:\WINDOWS\system32\msdtcuiu.DLL" не удалась с кодом ошибки 2147942402. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-20 03:49:46 | AdminKSN | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-20 03:49:46 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\WINDOWS\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Ошибка | Нет | 2020-04-20 11:00:55 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-20 11:01:03 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-20 11:01:05 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=5
|
| | | Приложение | Ошибка | Нет | 2020-04-20 11:04:51 | AdminKSN | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-20 11:04:51 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы ".NETFramework" в библиотеке DLL "C:\WINDOWS\system32\mscoree.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-20 11:04:51 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\WINDOWS\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-20 11:04:51 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-20 11:04:51 | AdminKSN | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-20 11:04:51 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\WINDOWS\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Ошибка | Нет | 2020-04-20 13:34:31 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=6
|
| | | Приложение | Ошибка | 100 | 2020-04-20 13:37:21 | | Application Error | 1000: Имя сбойного приложения: bubblewitch3.exe, версия: 0.0.0.0, метка времени: 0x5e3d3af3 Имя сбойного модуля: dcomp.dll, версия: 10.0.18362.752, метка времени: 0xb73351db Код исключения: 0xc0000005 Смещение ошибки: 0x0005b48a Идентификатор сбойного процесса: 0x1cb4 Время запуска сбойного приложения: 0x01d616ff9caca271 Путь сбойного приложения: C:\Program Files\WindowsApps\king.com.BubbleWitch3Saga_6.5.9.0_x86__kgqvnymyfvs32\bubblewitch3.exe Путь сбойного модуля: C:\WINDOWS\SYSTEM32\dcomp.dll Идентификатор отчета: 56caf54a-3b84-4d1d-991e-915730f57470 Полное имя сбойного пакета: king.com.BubbleWitch3Saga_6.5.9.0_x86__kgqvnymyfvs32 Код приложения, связанного со сбойным пакетом: App
|
| | | Приложение | Ошибка | Нет | 2020-04-20 13:38:21 | User | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-20 13:38:21 | User | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\WINDOWS\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-20 13:38:21 | User | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-20 13:38:21 | User | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "MSDTC" в библиотеке DLL "C:\WINDOWS\system32\msdtcuiu.DLL" не удалась с кодом ошибки 2147942402. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-20 13:38:21 | User | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-20 13:38:21 | User | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\WINDOWS\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Ошибка | 100 | 2020-04-20 13:53:46 | | Application Error | 1000: Имя сбойного приложения: SystemSettings.exe, версия: 10.0.18362.628, метка времени: 0x066bf1a5 Имя сбойного модуля: Windows.UI.Xaml.dll, версия: 10.0.18362.752, метка времени: 0x458b530d Код исключения: 0xc000027b Смещение ошибки: 0x00000000007132e0 Идентификатор сбойного процесса: 0x22b8 Время запуска сбойного приложения: 0x01d61701c45b4dba Путь сбойного приложения: C:\Windows\ImmersiveControlPanel\SystemSettings.exe Путь сбойного модуля: C:\Windows\System32\Windows.UI.Xaml.dll Идентификатор отчета: f3f4497b-e6da-4beb-96b3-ce0ac2d73ac6 Полное имя сбойного пакета: windows.immersivecontrolpanel_10.0.2.1000_neutral_neutral_cw5n1h2txyewy Код приложения, связанного со сбойным пакетом: microsoft.windows.immersivecontrolpanel
|
| | | Приложение | Ошибка | 100 | 2020-04-20 13:54:27 | | Application Error | 1000: Имя сбойного приложения: SystemSettings.exe, версия: 10.0.18362.628, метка времени: 0x066bf1a5 Имя сбойного модуля: Windows.UI.Xaml.dll, версия: 10.0.18362.752, метка времени: 0x458b530d Код исключения: 0xc000027b Смещение ошибки: 0x00000000007132e0 Идентификатор сбойного процесса: 0xe88 Время запуска сбойного приложения: 0x01d6170201626224 Путь сбойного приложения: C:\Windows\ImmersiveControlPanel\SystemSettings.exe Путь сбойного модуля: C:\Windows\System32\Windows.UI.Xaml.dll Идентификатор отчета: b5f36259-f74a-482a-9a46-4acff1e6622a Полное имя сбойного пакета: windows.immersivecontrolpanel_10.0.2.1000_neutral_neutral_cw5n1h2txyewy Код приложения, связанного со сбойным пакетом: microsoft.windows.immersivecontrolpanel
|
| | | Приложение | Ошибка | Нет | 2020-04-20 14:03:31 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=7
|
| | | Приложение | Ошибка | Нет | 2020-04-20 14:04:51 | AdminKSN | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-20 14:04:51 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\WINDOWS\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-20 14:04:51 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-20 14:04:51 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "MSDTC" в библиотеке DLL "C:\WINDOWS\system32\msdtcuiu.DLL" не удалась с кодом ошибки 2147942402. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-20 14:04:51 | AdminKSN | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-20 14:04:51 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\WINDOWS\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Ошибка | Нет | 2020-04-22 10:26:36 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=TimerEvent
|
| | | Приложение | Ошибка | Нет | 2020-04-22 10:26:41 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | | Приложение | Ошибка | Нет | 2020-04-22 10:26:45 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-22 10:30:28 | AdminKSN | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-22 10:30:28 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\WINDOWS\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-22 10:30:28 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-22 10:30:28 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "MSDTC" в библиотеке DLL "C:\WINDOWS\system32\msdtcuiu.DLL" не удалась с кодом ошибки 2147942402. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-22 10:30:28 | AdminKSN | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-22 10:30:28 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\WINDOWS\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Ошибка | Нет | 2020-04-22 11:09:35 | СИСТЕМА | Microsoft-Windows-Perflib | 1023: Windows не удалось загрузить библиотеку DLL расширяемого счетчика "C:\WINDOWS\system32\sysmain.dll" (код ошибки Win32: 126).
|
| | | Приложение | Ошибка | Нет | 2020-04-22 12:41:39 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-22 13:52:21 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | | Приложение | Ошибка | Нет | 2020-04-22 13:52:23 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Внимание | Нет | 2020-04-22 13:56:06 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы ".NETFramework" в библиотеке DLL "C:\WINDOWS\system32\mscoree.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-22 13:56:06 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\WINDOWS\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-22 13:56:06 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Ошибка | Нет | 2020-04-22 13:56:07 | AdminKSN | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-22 13:56:07 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "MSDTC" в библиотеке DLL "C:\WINDOWS\system32\msdtcuiu.DLL" не удалась с кодом ошибки 2147942402. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-22 13:56:07 | AdminKSN | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-22 13:56:07 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\WINDOWS\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Ошибка | Нет | 2020-04-22 14:58:16 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-22 14:58:20 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | | Приложение | Ошибка | Нет | 2020-04-22 15:01:39 | AdminKSN | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-22 15:01:39 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы ".NETFramework" в библиотеке DLL "C:\WINDOWS\system32\mscoree.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-22 15:01:39 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\WINDOWS\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-22 15:01:39 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-22 15:01:39 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "MSDTC" в библиотеке DLL "C:\WINDOWS\system32\msdtcuiu.DLL" не удалась с кодом ошибки 2147942402. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-22 15:01:39 | AdminKSN | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-22 15:01:39 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\WINDOWS\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Ошибка | Нет | 2020-04-22 15:43:45 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007267C Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | | Приложение | Ошибка | Нет | 2020-04-22 15:44:39 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Внимание | Нет | 2020-04-22 15:47:36 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "ESENT" в библиотеке DLL "C:\WINDOWS\system32\esentprf.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-22 15:47:36 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "Lsa" в библиотеке DLL "C:\Windows\System32\Secur32.dll" не удалась с кодом ошибки 5. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Ошибка | Нет | 2020-04-22 15:47:37 | AdminKSN | Microsoft-Windows-PerfNet | 2004: Не удалось открыть объект производительности службы сервера. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-22 15:47:37 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "MSDTC" в библиотеке DLL "C:\WINDOWS\system32\msdtcuiu.DLL" не удалась с кодом ошибки 2147942402. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Внимание | Нет | 2020-04-22 15:47:37 | AdminKSN | Microsoft-Windows-PerfProc | 2002: Не удалось открыть объект-задание \BaseNamedObjects\WmiProviderSubSystemHostJob для запроса доступа. Вызывающий процесс мог не иметь разрешения на выполнение этого задания. Первые четыре байта (DWORD) в разделе данных содержат код состояния.
|
| | | Приложение | Внимание | Нет | 2020-04-22 15:47:37 | AdminKSN | Microsoft-Windows-Perflib | 1008: Процедура открытия для службы "WmiApRpl" в библиотеке DLL "C:\WINDOWS\system32\wbem\wmiaprpl.dll" не удалась с кодом ошибки 21. Данные о производительности для этой службы не будут доступны.
|
| | | Приложение | Ошибка | Нет | 2020-04-22 16:16:37 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007267C Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | | Приложение | Ошибка | Нет | 2020-04-22 16:17:29 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-22 16:26:51 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | | Приложение | Ошибка | Нет | 2020-04-22 16:27:03 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-22 16:32:47 | | .NET Runtime | 1026: Приложение: UniversalUninstaller.exe Версия платформы: v4.0.30319 Описание. Процесс был завершен из-за необработанного исключения. Сведения об исключении: System.IO.DirectoryNotFoundException в System.IO.__Error.WinIOError(Int32, System.String) в System.IO.FileSystemEnumerableIterator`1[[System.__Canon, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089]].CommonInit() в System.IO.FileSystemEnumerableIterator`1[[System.__Canon, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089]]..ctor(System.String, System.String, System.String, System.IO.SearchOption, System.IO.SearchResultHandler`1<System.__Canon>, Boolean) в System.IO.DirectoryInfo.InternalGetFileSystemInfos(System.String, System.IO.SearchOption) в UniversalUninstaller.TargetList.ChildrenGetter(System.Object) в BrightIdeasSoftware.TreeListView+Branch.FetchChildren() в BrightIdeasSoftware.TreeListView+Branch.Expand() в BrightIdeasSoftware.TreeListView+Tree.Expand(System.Object) в BrightIdeasSoftware.TreeListView.Expand(System.Object) в UniversalUninstaller.TargetList.Populate(System.IO.DirectoryInfo) в UniversalUninstaller.UninstallSelection..ctor(System.IO.DirectoryInfo) в UniversalUninstaller.Program.Main()
|
| | | Приложение | Ошибка | 100 | 2020-04-22 16:32:47 | | Application Error | 1000: Имя сбойного приложения: UniversalUninstaller.exe, версия: 4.16.0.38991, метка времени: 0x5e2ca78f Имя сбойного модуля: KERNELBASE.dll, версия: 10.0.18362.778, метка времени: 0xafa78a6a Код исключения: 0xe0434352 Смещение ошибки: 0x000000000003a799 Идентификатор сбойного процесса: 0x19b8 Время запуска сбойного приложения: 0x01d618aa82bc12cf Путь сбойного приложения: D:\Admin\PortableSoft\BCUninstaller_4.16_portable\UniversalUninstaller.exe Путь сбойного модуля: C:\WINDOWS\System32\KERNELBASE.dll Идентификатор отчета: c82d60e4-05e0-42a0-b48c-5c00a807d203 Полное имя сбойного пакета: ? Код приложения, связанного со сбойным пакетом: ?
|
| | | Приложение | Ошибка | Нет | 2020-04-22 16:32:50 | | .NET Runtime | 1026: Приложение: UniversalUninstaller.exe Версия платформы: v4.0.30319 Описание. Процесс был завершен из-за необработанного исключения. Сведения об исключении: System.IO.DirectoryNotFoundException в System.IO.__Error.WinIOError(Int32, System.String) в System.IO.FileSystemEnumerableIterator`1[[System.__Canon, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089]].CommonInit() в System.IO.FileSystemEnumerableIterator`1[[System.__Canon, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089]]..ctor(System.String, System.String, System.String, System.IO.SearchOption, System.IO.SearchResultHandler`1<System.__Canon>, Boolean) в System.IO.DirectoryInfo.InternalGetFileSystemInfos(System.String, System.IO.SearchOption) в UniversalUninstaller.TargetList.ChildrenGetter(System.Object) в BrightIdeasSoftware.TreeListView+Branch.FetchChildren() в BrightIdeasSoftware.TreeListView+Branch.Expand() в BrightIdeasSoftware.TreeListView+Tree.Expand(System.Object) в BrightIdeasSoftware.TreeListView.Expand(System.Object) в UniversalUninstaller.TargetList.Populate(System.IO.DirectoryInfo) в UniversalUninstaller.UninstallSelection..ctor(System.IO.DirectoryInfo) в UniversalUninstaller.Program.Main()
|
| | | Приложение | Ошибка | 100 | 2020-04-22 16:32:50 | | Application Error | 1000: Имя сбойного приложения: UniversalUninstaller.exe, версия: 4.16.0.38991, метка времени: 0x5e2ca78f Имя сбойного модуля: KERNELBASE.dll, версия: 10.0.18362.778, метка времени: 0xafa78a6a Код исключения: 0xe0434352 Смещение ошибки: 0x000000000003a799 Идентификатор сбойного процесса: 0x1b10 Время запуска сбойного приложения: 0x01d618aa84cf0521 Путь сбойного приложения: D:\Admin\PortableSoft\BCUninstaller_4.16_portable\UniversalUninstaller.exe Путь сбойного модуля: C:\WINDOWS\System32\KERNELBASE.dll Идентификатор отчета: e6680703-843e-4a63-92e0-d9f9c83d0861 Полное имя сбойного пакета: ? Код приложения, связанного со сбойным пакетом: ?
|
| | | Приложение | Ошибка | Нет | 2020-04-22 16:32:59 | | .NET Runtime | 1026: Приложение: UniversalUninstaller.exe Версия платформы: v4.0.30319 Описание. Процесс был завершен из-за необработанного исключения. Сведения об исключении: System.IO.DirectoryNotFoundException в System.IO.__Error.WinIOError(Int32, System.String) в System.IO.FileSystemEnumerableIterator`1[[System.__Canon, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089]].CommonInit() в System.IO.FileSystemEnumerableIterator`1[[System.__Canon, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089]]..ctor(System.String, System.String, System.String, System.IO.SearchOption, System.IO.SearchResultHandler`1<System.__Canon>, Boolean) в System.IO.DirectoryInfo.InternalGetFileSystemInfos(System.String, System.IO.SearchOption) в UniversalUninstaller.TargetList.ChildrenGetter(System.Object) в BrightIdeasSoftware.TreeListView+Branch.FetchChildren() в BrightIdeasSoftware.TreeListView+Branch.Expand() в BrightIdeasSoftware.TreeListView+Tree.Expand(System.Object) в BrightIdeasSoftware.TreeListView.Expand(System.Object) в UniversalUninstaller.TargetList.Populate(System.IO.DirectoryInfo) в UniversalUninstaller.UninstallSelection..ctor(System.IO.DirectoryInfo) в UniversalUninstaller.Program.Main()
|
| | | Приложение | Ошибка | 100 | 2020-04-22 16:32:59 | | Application Error | 1000: Имя сбойного приложения: UniversalUninstaller.exe, версия: 4.16.0.38991, метка времени: 0x5e2ca78f Имя сбойного модуля: KERNELBASE.dll, версия: 10.0.18362.778, метка времени: 0xafa78a6a Код исключения: 0xe0434352 Смещение ошибки: 0x000000000003a799 Идентификатор сбойного процесса: 0x1b70 Время запуска сбойного приложения: 0x01d618aa89b59f37 Путь сбойного приложения: D:\Admin\PortableSoft\BCUninstaller_4.16_portable\UniversalUninstaller.exe Путь сбойного модуля: C:\WINDOWS\System32\KERNELBASE.dll Идентификатор отчета: 060de0c3-70c2-4235-8ed0-4ee2c1b70e2f Полное имя сбойного пакета: ? Код приложения, связанного со сбойным пакетом: ?
|
| | | Приложение | Ошибка | Нет | 2020-04-22 16:33:01 | | .NET Runtime | 1026: Приложение: UniversalUninstaller.exe Версия платформы: v4.0.30319 Описание. Процесс был завершен из-за необработанного исключения. Сведения об исключении: System.IO.DirectoryNotFoundException в System.IO.__Error.WinIOError(Int32, System.String) в System.IO.FileSystemEnumerableIterator`1[[System.__Canon, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089]].CommonInit() в System.IO.FileSystemEnumerableIterator`1[[System.__Canon, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089]]..ctor(System.String, System.String, System.String, System.IO.SearchOption, System.IO.SearchResultHandler`1<System.__Canon>, Boolean) в System.IO.DirectoryInfo.InternalGetFileSystemInfos(System.String, System.IO.SearchOption) в UniversalUninstaller.TargetList.ChildrenGetter(System.Object) в BrightIdeasSoftware.TreeListView+Branch.FetchChildren() в BrightIdeasSoftware.TreeListView+Branch.Expand() в BrightIdeasSoftware.TreeListView+Tree.Expand(System.Object) в BrightIdeasSoftware.TreeListView.Expand(System.Object) в UniversalUninstaller.TargetList.Populate(System.IO.DirectoryInfo) в UniversalUninstaller.UninstallSelection..ctor(System.IO.DirectoryInfo) в UniversalUninstaller.Program.Main()
|
| | | Приложение | Ошибка | 100 | 2020-04-22 16:33:01 | | Application Error | 1000: Имя сбойного приложения: UniversalUninstaller.exe, версия: 4.16.0.38991, метка времени: 0x5e2ca78f Имя сбойного модуля: KERNELBASE.dll, версия: 10.0.18362.778, метка времени: 0xafa78a6a Код исключения: 0xe0434352 Смещение ошибки: 0x000000000003a799 Идентификатор сбойного процесса: 0x1c4 Время запуска сбойного приложения: 0x01d618aa8b3cb059 Путь сбойного приложения: D:\Admin\PortableSoft\BCUninstaller_4.16_portable\UniversalUninstaller.exe Путь сбойного модуля: C:\WINDOWS\System32\KERNELBASE.dll Идентификатор отчета: 786dcf11-7020-4a8c-b6a8-dbaff076f6e8 Полное имя сбойного пакета: ? Код приложения, связанного со сбойным пакетом: ?
|
| | | Приложение | Ошибка | Нет | 2020-04-22 16:33:04 | | .NET Runtime | 1026: Приложение: UniversalUninstaller.exe Версия платформы: v4.0.30319 Описание. Процесс был завершен из-за необработанного исключения. Сведения об исключении: System.IO.DirectoryNotFoundException в System.IO.__Error.WinIOError(Int32, System.String) в System.IO.FileSystemEnumerableIterator`1[[System.__Canon, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089]].CommonInit() в System.IO.FileSystemEnumerableIterator`1[[System.__Canon, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089]]..ctor(System.String, System.String, System.String, System.IO.SearchOption, System.IO.SearchResultHandler`1<System.__Canon>, Boolean) в System.IO.DirectoryInfo.InternalGetFileSystemInfos(System.String, System.IO.SearchOption) в UniversalUninstaller.TargetList.ChildrenGetter(System.Object) в BrightIdeasSoftware.TreeListView+Branch.FetchChildren() в BrightIdeasSoftware.TreeListView+Branch.Expand() в BrightIdeasSoftware.TreeListView+Tree.Expand(System.Object) в BrightIdeasSoftware.TreeListView.Expand(System.Object) в UniversalUninstaller.TargetList.Populate(System.IO.DirectoryInfo) в UniversalUninstaller.UninstallSelection..ctor(System.IO.DirectoryInfo) в UniversalUninstaller.Program.Main()
|
| | | Приложение | Ошибка | 100 | 2020-04-22 16:33:04 | | Application Error | 1000: Имя сбойного приложения: UniversalUninstaller.exe, версия: 4.16.0.38991, метка времени: 0x5e2ca78f Имя сбойного модуля: KERNELBASE.dll, версия: 10.0.18362.778, метка времени: 0xafa78a6a Код исключения: 0xe0434352 Смещение ошибки: 0x000000000003a799 Идентификатор сбойного процесса: 0x13e4 Время запуска сбойного приложения: 0x01d618aa8cc5c417 Путь сбойного приложения: D:\Admin\PortableSoft\BCUninstaller_4.16_portable\UniversalUninstaller.exe Путь сбойного модуля: C:\WINDOWS\System32\KERNELBASE.dll Идентификатор отчета: 7e69001a-369c-4d16-98eb-523ddac0a098 Полное имя сбойного пакета: ? Код приложения, связанного со сбойным пакетом: ?
|
| | | Приложение | Ошибка | Нет | 2020-04-22 16:33:06 | | .NET Runtime | 1026: Приложение: UniversalUninstaller.exe Версия платформы: v4.0.30319 Описание. Процесс был завершен из-за необработанного исключения. Сведения об исключении: System.IO.DirectoryNotFoundException в System.IO.__Error.WinIOError(Int32, System.String) в System.IO.FileSystemEnumerableIterator`1[[System.__Canon, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089]].CommonInit() в System.IO.FileSystemEnumerableIterator`1[[System.__Canon, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089]]..ctor(System.String, System.String, System.String, System.IO.SearchOption, System.IO.SearchResultHandler`1<System.__Canon>, Boolean) в System.IO.DirectoryInfo.InternalGetFileSystemInfos(System.String, System.IO.SearchOption) в UniversalUninstaller.TargetList.ChildrenGetter(System.Object) в BrightIdeasSoftware.TreeListView+Branch.FetchChildren() в BrightIdeasSoftware.TreeListView+Branch.Expand() в BrightIdeasSoftware.TreeListView+Tree.Expand(System.Object) в BrightIdeasSoftware.TreeListView.Expand(System.Object) в UniversalUninstaller.TargetList.Populate(System.IO.DirectoryInfo) в UniversalUninstaller.UninstallSelection..ctor(System.IO.DirectoryInfo) в UniversalUninstaller.Program.Main()
|
| | | Приложение | Ошибка | 100 | 2020-04-22 16:33:06 | | Application Error | 1000: Имя сбойного приложения: UniversalUninstaller.exe, версия: 4.16.0.38991, метка времени: 0x5e2ca78f Имя сбойного модуля: KERNELBASE.dll, версия: 10.0.18362.778, метка времени: 0xafa78a6a Код исключения: 0xe0434352 Смещение ошибки: 0x000000000003a799 Идентификатор сбойного процесса: 0x1ea4 Время запуска сбойного приложения: 0x01d618aa8e4f1b5a Путь сбойного приложения: D:\Admin\PortableSoft\BCUninstaller_4.16_portable\UniversalUninstaller.exe Путь сбойного модуля: C:\WINDOWS\System32\KERNELBASE.dll Идентификатор отчета: 780921fd-a6ea-4fa5-95c1-3a1c902beeb7 Полное имя сбойного пакета: ? Код приложения, связанного со сбойным пакетом: ?
|
| | | Приложение | Ошибка | Нет | 2020-04-22 16:33:09 | | .NET Runtime | 1026: Приложение: UniversalUninstaller.exe Версия платформы: v4.0.30319 Описание. Процесс был завершен из-за необработанного исключения. Сведения об исключении: System.IO.DirectoryNotFoundException в System.IO.__Error.WinIOError(Int32, System.String) в System.IO.FileSystemEnumerableIterator`1[[System.__Canon, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089]].CommonInit() в System.IO.FileSystemEnumerableIterator`1[[System.__Canon, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089]]..ctor(System.String, System.String, System.String, System.IO.SearchOption, System.IO.SearchResultHandler`1<System.__Canon>, Boolean) в System.IO.DirectoryInfo.InternalGetFileSystemInfos(System.String, System.IO.SearchOption) в UniversalUninstaller.TargetList.ChildrenGetter(System.Object) в BrightIdeasSoftware.TreeListView+Branch.FetchChildren() в BrightIdeasSoftware.TreeListView+Branch.Expand() в BrightIdeasSoftware.TreeListView+Tree.Expand(System.Object) в BrightIdeasSoftware.TreeListView.Expand(System.Object) в UniversalUninstaller.TargetList.Populate(System.IO.DirectoryInfo) в UniversalUninstaller.UninstallSelection..ctor(System.IO.DirectoryInfo) в UniversalUninstaller.Program.Main()
|
| | | Приложение | Ошибка | 100 | 2020-04-22 16:33:09 | | Application Error | 1000: Имя сбойного приложения: UniversalUninstaller.exe, версия: 4.16.0.38991, метка времени: 0x5e2ca78f Имя сбойного модуля: KERNELBASE.dll, версия: 10.0.18362.778, метка времени: 0xafa78a6a Код исключения: 0xe0434352 Смещение ошибки: 0x000000000003a799 Идентификатор сбойного процесса: 0x940 Время запуска сбойного приложения: 0x01d618aa8fd8ab48 Путь сбойного приложения: D:\Admin\PortableSoft\BCUninstaller_4.16_portable\UniversalUninstaller.exe Путь сбойного модуля: C:\WINDOWS\System32\KERNELBASE.dll Идентификатор отчета: c2031f43-b0d2-4413-955e-0f4ca06c5865 Полное имя сбойного пакета: ? Код приложения, связанного со сбойным пакетом: ?
|
| | | Приложение | Ошибка | Нет | 2020-04-22 16:33:11 | | .NET Runtime | 1026: Приложение: UniversalUninstaller.exe Версия платформы: v4.0.30319 Описание. Процесс был завершен из-за необработанного исключения. Сведения об исключении: System.IO.DirectoryNotFoundException в System.IO.__Error.WinIOError(Int32, System.String) в System.IO.FileSystemEnumerableIterator`1[[System.__Canon, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089]].CommonInit() в System.IO.FileSystemEnumerableIterator`1[[System.__Canon, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089]]..ctor(System.String, System.String, System.String, System.IO.SearchOption, System.IO.SearchResultHandler`1<System.__Canon>, Boolean) в System.IO.DirectoryInfo.InternalGetFileSystemInfos(System.String, System.IO.SearchOption) в UniversalUninstaller.TargetList.ChildrenGetter(System.Object) в BrightIdeasSoftware.TreeListView+Branch.FetchChildren() в BrightIdeasSoftware.TreeListView+Branch.Expand() в BrightIdeasSoftware.TreeListView+Tree.Expand(System.Object) в BrightIdeasSoftware.TreeListView.Expand(System.Object) в UniversalUninstaller.TargetList.Populate(System.IO.DirectoryInfo) в UniversalUninstaller.UninstallSelection..ctor(System.IO.DirectoryInfo) в UniversalUninstaller.Program.Main()
|
| | | Приложение | Ошибка | 100 | 2020-04-22 16:33:12 | | Application Error | 1000: Имя сбойного приложения: UniversalUninstaller.exe, версия: 4.16.0.38991, метка времени: 0x5e2ca78f Имя сбойного модуля: KERNELBASE.dll, версия: 10.0.18362.778, метка времени: 0xafa78a6a Код исключения: 0xe0434352 Смещение ошибки: 0x000000000003a799 Идентификатор сбойного процесса: 0x103c Время запуска сбойного приложения: 0x01d618aa916278a7 Путь сбойного приложения: D:\Admin\PortableSoft\BCUninstaller_4.16_portable\UniversalUninstaller.exe Путь сбойного модуля: C:\WINDOWS\System32\KERNELBASE.dll Идентификатор отчета: 8bc21d26-0f60-4ce4-8dc0-23e5590eeda3 Полное имя сбойного пакета: ? Код приложения, связанного со сбойным пакетом: ?
|
| | | Приложение | Ошибка | Нет | 2020-04-22 16:35:38 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | | Приложение | Ошибка | Нет | 2020-04-22 16:35:45 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-22 16:53:47 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-22 16:53:52 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | | Приложение | Ошибка | Нет | 2020-04-22 16:53:56 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-22 17:28:06 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Приложение | Ошибка | Нет | 2020-04-22 17:28:17 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=UserLogon;SessionId=1
|
| | | Приложение | Ошибка | Нет | 2020-04-22 17:28:19 | | Software Protection Platform Service | 8198: Сбой активации лицензий (slui.exe) со следующим кодом ошибки: hr=0x8007007B Аргументы командной строки: RuleId=502ff3ba-669a-4674-bbb1-601f34a3b968;Action=AutoActivateSilent;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=2de67392-b7a7-462a-b1ca-108dd189f588;NotificationInterval=1440;Trigger=NetworkAvailable
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 01:49:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 01:49:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:14 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1320 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:14 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1320 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 01:49:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 01:49:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 01:49:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 01:49:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:17 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:17 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:17 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:17 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 01:49:31 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x5b0 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 01:49:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x48ae902 Связанный ИД входа: 0x48ae92a Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5b0 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 01:49:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x48ae92a Связанный ИД входа: 0x48ae902 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5b0 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 01:49:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x48ae902 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 01:49:31 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x520 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12290 | 2020-04-16 01:49:32 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x48ae92a Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-16 01:49:32 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x48ae92a Сведения о процессе: Идентификатор процесса: 10008 Время создания процесса: 2020-04-15T22:49:31.879935900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\AdminKSN\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-16 01:49:32 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x48ae92a Сведения о процессе: Идентификатор процесса: 10008 Время создания процесса: 2020-04-15T22:49:31.879935900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x48ae92a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x2560 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:35 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x48ae92a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x2560 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:47 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:47 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:47 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:47 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:47 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:47 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:47 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:47 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:47 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:47 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:47 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:47 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:49 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:49 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:49 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:49:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 01:49:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 01:49:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:06 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x48ae92a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x2560 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:07 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x48ae92a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x2560 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:17 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:17 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:17 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:17 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:17 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:17 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:17 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:50:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 01:50:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 01:50:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 01:52:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 01:52:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 01:52:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 01:52:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 01:52:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 01:52:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 01:52:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 01:52:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 01:52:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 01:52:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 01:52:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 01:52:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 01:52:18 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2190 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 01:52:18 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2190 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:52:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 01:56:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 01:56:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 01:56:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 01:56:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 01:56:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 01:56:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 01:56:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1854 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 01:56:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1854 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 01:56:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1854 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 01:56:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1854 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 01:56:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1854 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 01:56:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1854 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 01:56:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1854 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 01:56:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1854 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 01:56:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\_0000000000000000.cdf-ms Идентификатор дескриптора: 0x628 Сведения о процессе: Идентификатор процесса: 0x1dfc Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.710_none_5f52d84058d0677f\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 01:56:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$.cdf-ms Идентификатор дескриптора: 0x634 Сведения о процессе: Идентификатор процесса: 0x1dfc Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.710_none_5f52d84058d0677f\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 01:56:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_21ffbdd2a2dd92e0.cdf-ms Идентификатор дескриптора: 0x778 Сведения о процессе: Идентификатор процесса: 0x1dfc Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.710_none_5f52d84058d0677f\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 01:56:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_advancedinstallers_0c6bb4866bff02f7.cdf-ms Идентификатор дескриптора: 0x628 Сведения о процессе: Идентификатор процесса: 0x1dfc Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.710_none_5f52d84058d0677f\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 01:56:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_21f9a9c4a2f8b514.cdf-ms Идентификатор дескриптора: 0x634 Сведения о процессе: Идентификатор процесса: 0x1dfc Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.710_none_5f52d84058d0677f\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 01:56:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_advancedinstallers_dfe2cf200b391371.cdf-ms Идентификатор дескриптора: 0x778 Сведения о процессе: Идентификатор процесса: 0x1dfc Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.710_none_5f52d84058d0677f\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 01:56:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_servicing_fc2045b9046cc796.cdf-ms Идентификатор дескриптора: 0x628 Сведения о процессе: Идентификатор процесса: 0x1dfc Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.710_none_5f52d84058d0677f\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 01:56:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_servicing_version_10.0.18362.772_8dec9fe706195603.cdf-ms Идентификатор дескриптора: 0x628 Сведения о процессе: Идентификатор процесса: 0x1dfc Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.710_none_5f52d84058d0677f\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 01:56:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_servicing_sqm_51d9d5f9de5a2fa5.cdf-ms Идентификатор дескриптора: 0x778 Сведения о процессе: Идентификатор процесса: 0x1dfc Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.710_none_5f52d84058d0677f\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 01:56:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_servicing_sessions_5591aee9e2456a35.cdf-ms Идентификатор дескриптора: 0x634 Сведения о процессе: Идентификатор процесса: 0x1dfc Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.710_none_5f52d84058d0677f\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 01:56:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_servicing_packages_46c20bc5f833cc43.cdf-ms Идентификатор дескриптора: 0x628 Сведения о процессе: Идентификатор процесса: 0x1dfc Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.710_none_5f52d84058d0677f\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 01:56:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_logs_cbs_10a752bcbbaee88b.cdf-ms Идентификатор дескриптора: 0x778 Сведения о процессе: Идентификатор процесса: 0x1dfc Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.710_none_5f52d84058d0677f\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 01:56:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\poqexec.exe Идентификатор дескриптора: 0x778 Сведения о процессе: Идентификатор процесса: 0x1dfc Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.710_none_5f52d84058d0677f\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 01:56:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\poqexec.exe Идентификатор дескриптора: 0x634 Сведения о процессе: Идентификатор процесса: 0x1dfc Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.710_none_5f52d84058d0677f\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:56:38 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x48ae92a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x2560 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 01:59:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 01:59:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:59:11 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:59:11 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:59:11 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:59:11 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:59:11 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:59:11 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:59:11 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:59:11 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:59:11 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:59:11 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:59:11 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:59:11 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x48ae92a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:59:12 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:59:12 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:59:12 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 01:59:12 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 02:07:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 02:07:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 02:07:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 02:07:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 02:07:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xca4 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 02:07:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xca4 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 02:07:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xca4 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 02:07:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xca4 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 02:07:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xca4 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 02:07:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xca4 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 02:07:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xca4 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 02:07:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xca4 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 02:16:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 02:16:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 02:31:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 02:31:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 02:44:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 02:44:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 03:13:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 03:13:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 03:25:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 03:25:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 03:25:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-16 03:25:11 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x48ae92a Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 03:25:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 03:25:11 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5b0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 03:25:11 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5b0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 03:25:11 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5b0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 03:25:11 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5b0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 03:25:11 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5b0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 03:25:11 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5b0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Boot\PCAT\bootmgr Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\cdd.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\hal.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\iumcrypt.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\keepaliveprovider.dll Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\KerbClientShared.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\LsaIso.exe Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ncbservice.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ntdll.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ntoskrnl.exe Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\sbservicetrigger.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\securekernel.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\smss.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\sxssrv.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\tcblaunch.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\tcbloader.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\winload.efi Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\winload.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\dxgkrnl.sys Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\dxgmms1.sys Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\dxgmms2.sys Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\FWPKCLNT.SYS Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\hwpolicy.sys Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\mrxsmb.sys Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\partmgr.sys Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\rdbss.sys Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\storport.sys Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\tcpip.sys Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\winnat.sys Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\KerbClientShared.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ntdll.dll Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\_0000000000000000.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_waas_401032e7a18c2040.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_waas_services_ddfc4ae175ff1678.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_21ffbdd2a2dd92e0.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_wbem_1bf25d11bb30b33f.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_tasks_bad86ed64cd79762.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_tasks_microsoft_200b1d7e84f3818e.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_tasks_microsoft_windows_4e7d28a223eef37f.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_tasks_microsoft_windows_remoteapp_and_desktop_connections_update_537d8a8a24b3a619.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_sru_1bf25359a7665016.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_spp_tokens_ppdlic_ee939189101570f7.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_speech_onecore_common_3ac1627a1b848769.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_ru-ru_b70b8052528b002f.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_migration_bdcfa47e8790e0c4.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_licenses_neutral_volume_professional_81e94ea00d535798.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_licenses_neutral_oem_professional_4d95b036a354f599.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_syswow64_licenses_neutral_default_professional_2a2c080b72ab118c.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_0307ca33e1cd9708.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.settingshandlers-nt_7298028ee386990a.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.settingshandlers-nt_pris_71a69ceed5129daa.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.settingsappthreshold_0b97cbddb6bef8ee.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.settingsappthreshold_pris_c69f4420e8b9ac96.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.pcshell_f32245a82a039128.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_windows.ui.pcshell_peoplepane_assets_1773a8a6e1ab2266.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_microsoft.windows.sechealthui_5bb2238b2acc9da0.cdf-ms Идентификатор дескриптора: 0x68 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_callingshellapp_9a8b950cdeee06ad.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_callingshellapp_assets_f8f8f553bc76ad92.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemresources_callingshellapp_assets_fonts_a6a41a0eafc8c1ca.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_windows.cbspreview_cw5n1h2txyewy_22550f63a4546e7d.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_windows.cbspreview_cw5n1h2txyewy_pris_ba2c4b636e54aed7.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_shellexperiencehost_cw5n1h2txyewy_e21c90d9487ed242.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_shellexperiencehost_cw5n1h2txyewy_pris_3818bc2422f945c8.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_shellexperiencehost_cw5n1h2txyewy_assets_7b05f0549cbec22d.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_parentalcontrols_cw5n1h2txyewy_279dce154aea2ac9.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_parentalcontrols_cw5n1h2txyewy_pris_dce7f2ada50375cf.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_parentalcontrols_cw5n1h2txyewy_assets_a55aa1bc343589de.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.xboxgamecallableui_cw5n1h2txyewy_f20e4c4d4e876b3f.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.xboxgamecallableui_cw5n1h2txyewy_themes_1f2d670dacd61c23.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.xboxgamecallableui_cw5n1h2txyewy_resources_0058419ed0e268cc.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.xboxgamecallableui_cw5n1h2txyewy_pages_90648820b0a2252d.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.xboxgamecallableui_cw5n1h2txyewy_pages_titleachievement_feba1e22114ab440.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.xboxgamecallableui_cw5n1h2txyewy_pages_profilecard_d81353263056fe50.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.xboxgamecallableui_cw5n1h2txyewy_pages_peoplepicker_699dc213009f5408.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.xboxgamecallableui_cw5n1h2txyewy_pages_invitefriends_51f8dc5582c842ab.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.xboxgamecallableui_cw5n1h2txyewy_pages_debugdashboard_9096171787e858d2.cdf-ms Идентификатор дескриптора: 0x74 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.xboxgamecallableui_cw5n1h2txyewy_pages_connectedstorage_bb7f4c5629f8f5c1.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.xboxgamecallableui_cw5n1h2txyewy_pages_checkpri_e7a4ee77932b19b6.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.xboxgamecallableui_cw5n1h2txyewy_pages_changerelationship_c052060eb138afed.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.xboxgamecallableui_cw5n1h2txyewy_fonts_91ccfd4ead7732a9.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.xboxgamecallableui_cw5n1h2txyewy_control_21a00c89570906c4.cdf-ms Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.xboxgamecallableui_cw5n1h2txyewy_control_titlebar_c5b3637bfa36fded.cdf-ms Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.xboxgamecallableui_cw5n1h2txyewy_control_progressring_b01128edcbae037b.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.xboxgamecallableui_cw5n1h2txyewy_control_profileheader_55aa9a2093bcc92c.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.xboxgamecallableui_cw5n1h2txyewy_control_person_3c04788c233ce0e3.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.xboxgamecallableui_cw5n1h2txyewy_control_peoplelistview_1bb0b63e2dcefe4a.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.xboxgamecallableui_cw5n1h2txyewy_control_general_3d48ad2ec589c0e0.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.xboxgamecallableui_cw5n1h2txyewy_control_gameprogress_49d06eeb9e1c5017.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.xboxgamecallableui_cw5n1h2txyewy_control_contenttile_3214cfe0629be901.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.xboxgamecallableui_cw5n1h2txyewy_control_changerelationshipbutton_31a39d400d51dd10.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.xboxgamecallableui_cw5n1h2txyewy_assets_21f0037fa66ea49e.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.xgpuejectdialog_cw5n1h2txyewy_6f3e12c2a894df22.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.xgpuejectdialog_cw5n1h2txyewy_pris_718290b8a3bd0a02.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.xgpuejectdialog_cw5n1h2txyewy_assets_f61ab60bf69c944b.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.startmenuexperiencehost_cw5n1h2txyewy_d32a9d6ca3506cf2.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.startmenuexperiencehost_cw5n1h2txyewy_assets_84da0fa1380edf65.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.secureassessmentbrowser_cw5n1h2txyewy_5c9bcd2fbb5568e6.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.secureassessmentbrowser_cw5n1h2txyewy_pris_4411c1f8ffbde214.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.secureassessmentbrowser_cw5n1h2txyewy_css_97fe2d3982e9ff53.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.secureassessmentbrowser_cw5n1h2txyewy_assets_2482c5a7df075309.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.sechealthui_cw5n1h2txyewy_8cdc4a2b89a0ce24.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.sechealthui_cw5n1h2txyewy_assets_2c72493351d74c03.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.sechealthui_cw5n1h2txyewy_assets_fonts_6ccf17025b49a9e7.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.pinningconfirmationdialog_cw5n1h2txyewy_46d0147d9d0e7625.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.pinningconfirmationdialog_cw5n1h2txyewy_pris_818d8e38ea51703d.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.peopleexperiencehost_cw5n1h2txyewy_f7fd95c23bab9f94.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.peopleexperiencehost_cw5n1h2txyewy_pris_9edd48d3cfd2afbe.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.peopleexperiencehost_cw5n1h2txyewy_assets_cf68ccdf60246487.cdf-ms Идентификатор дескриптора: 0x78 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkconnectionflow_cw5n1h2txyewy_80e99b2c380ce386.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkconnectionflow_cw5n1h2txyewy_speech_67783f6849153b36.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkconnectionflow_cw5n1h2txyewy_speech_4009_22164123daca0b0b.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkconnectionflow_cw5n1h2txyewy_speech_1009_22164123daca0b08.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkconnectionflow_cw5n1h2txyewy_speech_0c0c_22166549dac9d492.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkconnectionflow_cw5n1h2txyewy_speech_0c0a_22166545dac9d4a4.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkconnectionflow_cw5n1h2txyewy_speech_0c09_22166535dac9d4ec.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkconnectionflow_cw5n1h2txyewy_speech_080a_22165063dac9f3f7.cdf-ms Идентификатор дескриптора: 0x64 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkconnectionflow_cw5n1h2txyewy_speech_0809_22165053dac9f43f.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkconnectionflow_cw5n1h2txyewy_speech_0804_22165049dac9f46c.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkconnectionflow_cw5n1h2txyewy_speech_0416_22164891daca000f.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkconnectionflow_cw5n1h2txyewy_speech_0411_22164887daca003c.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkconnectionflow_cw5n1h2txyewy_speech_0410_22164885daca0045.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkconnectionflow_cw5n1h2txyewy_speech_040c_221648cfdac9ff49.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkconnectionflow_cw5n1h2txyewy_speech_0409_221648bbdac9ffa3.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkconnectionflow_cw5n1h2txyewy_speech_0407_221648b7dac9ffb5.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkconnectionflow_cw5n1h2txyewy_pris_565e254797fba24a.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkcaptiveportal_cw5n1h2txyewy_e1ee1f244749a46e.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkcaptiveportal_cw5n1h2txyewy_speech_c1f3c63b8b44e44e.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkcaptiveportal_cw5n1h2txyewy_speech_4009_8f459d394bfe2379.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkcaptiveportal_cw5n1h2txyewy_speech_1009_8f459d334bfe2394.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkcaptiveportal_cw5n1h2txyewy_speech_0c0c_8f459bc94bfe26da.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkcaptiveportal_cw5n1h2txyewy_speech_0c0a_8f459c114bfe2638.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkcaptiveportal_cw5n1h2txyewy_speech_0c09_8f459d314bfe23b0.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkcaptiveportal_cw5n1h2txyewy_speech_080a_8f459c114bfe262d.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkcaptiveportal_cw5n1h2txyewy_speech_0809_8f459d314bfe23a5.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkcaptiveportal_cw5n1h2txyewy_speech_0804_8f459de54bfe2210.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkcaptiveportal_cw5n1h2txyewy_speech_0416_8f459f834bfe1fd5.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkcaptiveportal_cw5n1h2txyewy_speech_0411_8f45a0374bfe1e40.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkcaptiveportal_cw5n1h2txyewy_speech_0410_8f45a05b4bfe1def.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkcaptiveportal_cw5n1h2txyewy_speech_040c_8f459bc94bfe26cb.cdf-ms Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkcaptiveportal_cw5n1h2txyewy_speech_0409_8f459d314bfe23a1.cdf-ms Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkcaptiveportal_cw5n1h2txyewy_speech_0407_8f459d794bfe22ff.cdf-ms Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkcaptiveportal_cw5n1h2txyewy_pris_06146a5d54fa2c00.cdf-ms Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkcaptiveportal_cw5n1h2txyewy_assets_c7a73ff382a5aad7.cdf-ms Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.oobenetworkcaptiveportal_cw5n1h2txyewy_assets_fonts_5970b081af9a7fbb.cdf-ms Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.narratorquickstart_8wekyb3d8bbwe_aa4229d57e07074a.cdf-ms Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.narratorquickstart_8wekyb3d8bbwe_pris_2fcc74e35c7bd23c.cdf-ms Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.narratorquickstart_8wekyb3d8bbwe_assets_3c2c27c2cd8c0a67.cdf-ms Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.filepicker_cw5n1h2txyewy_7f0cdb3cdcf67613.cdf-ms Идентификатор дескриптора: 0x80 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.filepicker_cw5n1h2txyewy_pris_b04c47d5ff5f14ed.cdf-ms Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.filepicker_cw5n1h2txyewy_assets_fb9af0810a32fb5e.cdf-ms Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.fileexplorer_cw5n1h2txyewy_4a81d77affb96b12.cdf-ms Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.fileexplorer_cw5n1h2txyewy_pris_bf3c7b21cedb4b7a.cdf-ms Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.fileexplorer_cw5n1h2txyewy_assets_b49608cc4f09e72b.cdf-ms Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cortana_cw5n1h2txyewy_2d6b8920d3f31e0d.cdf-ms Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.contentdeliverymanager_cw5n1h2txyewy_6369fdd3e5ab0989.cdf-ms Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.contentdeliverymanager_cw5n1h2txyewy_images_f48d365ca6bf839f.cdf-ms Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_e92250ef2519d1f6.cdf-ms Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_0c3414e5ea9b964c.cdf-ms Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_unifiedenrollment_608128e0971fe102.cdf-ms Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_unifiedenrollment_views_ab3b53e7951674ac.cdf-ms Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_unifiedenrollment_js_c50fa6bbbb7c87b1.cdf-ms Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_templates_2902e194c40c2d99.cdf-ms Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_templates_view_fa144ce8b696a5f6.cdf-ms Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_templates_js_30c977d57667d018.cdf-ms Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_surfacehubdeviceuser_40a8494b26aff035.cdf-ms Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_surfacehubdeviceuser_view_878bf08afd4f7608.cdf-ms Идентификатор дескриптора: 0x88 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_surfacehubdeviceuser_js_b837e3558be51686.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_scoobe_47e577bfb89f66ff.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_scoobe_view_ffe5b70b18357b66.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_scoobe_media_2e29d64a701c210b.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_scoobe_js_2be3c432c2ce3ede.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_scoobe_js_common_5c49fd1a5570d1f3.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusivesspr_d9ae0f7fd2cccc94.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusivesspr_view_a30cd40228c98533.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusivesspr_js_04768872769d851d.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusiveoobe_d9ae09c5d2ccd3fb.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusiveoobe_view_9d516b3c2e3e1a84.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusiveoobe_view_templat_72e2a4dd8431fbed.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusiveoobe_media_fff1539a1a4e3fb7.cdf-ms Идентификатор дескриптора: 0x7c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusiveoobe_js_fed525f87d913b20.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusiveoobe_js_common_9b35fdf5c98f69bb.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_inclusiveoobe_css_9d5145ddb46283ae.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_hololensdiagnostics_views_d5eef763b212983a.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_hololensdiagnostics_js_8c1a5a20ff89a7b5.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_enterprisengcenrollment_82255765359ba571.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_enterprisengcenrollment_vi_7e71e645381609fd.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_enterprisengcenrollment_js_c58adfa13ec3cacc.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_antitheft_24a5fefd01d630ef.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_antitheft_views_c7398a706c782c0f.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_webapps_antitheft_js_08cf6efb11d0da96.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_views_f55d581a0acbb522.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_f55759080d09bc14.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_4009_f24be8641cd5eaeb.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_1009_f24be8d01cd5e9f8.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0c0c_f24bfc161cd5cc82.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0c0a_f24bf84a1cd5d234.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0c09_f24be91a1cd5e8fc.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_080a_f24bf8341cd5d297.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0809_f24be9041cd5e95f.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0804_f24bdf861cd5f79c.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0416_f24be34a1cd5f20f.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0411_f24bd9cc1cd6004c.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0410_f24bd7e61cd60325.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_040c_f24bfbf81cd5cd09.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0409_f24be8fc1cd5e983.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_speech_0407_f24be5301cd5ef35.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_retaildemo_d6007de2c4449ca2.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_pris_4436110b27fc8d08.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_microsoft.winjs-reduced_36e69b3b0e7ecf70.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_microsoft.winjs-reduced_js_c3e6a46e6987d93b.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_microsoft.winjs-reduced_css_1f290cb460a43b49.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_media_f54b539a0b1cc81a.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_lib_b0f47f90f3500a51.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_js_91283bc423026fc5.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_images_f5434c400d60dd7c.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_fonts_f53d61bc0b5bbe04.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_data_4436285d27fc685e.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_data_prod_c85cee3a7af640ef.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_css_b0f49fc4f34fda43.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_core_443623ff27fc6f6b.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_core_view_c303ad0c866a9c46.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_core_js_2a738435bdbe8f70.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.cloudexperiencehost_cw5n1h2txyewy_core_js_applaunchers_de40849bf361043c.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.capturepicker_cw5n1h2txyewy_a6a11caf60726833.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.capturepicker_cw5n1h2txyewy_pris_1f26cd22beec03f3.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.callingshellapp_cw5n1h2txyewy_c0246e5a4e3e550c.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.callingshellapp_cw5n1h2txyewy_pris_6a0f765a48ee4b44.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.callingshellapp_cw5n1h2txyewy_assets_ea79be798cb01049.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.assignedaccesslockapp_cw5n1h2txyewy_29da24b0fd93bf69.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.assignedaccesslockapp_cw5n1h2txyewy_pris_739c1e49050f5c39.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.assignedaccesslockapp_cw5n1h2txyewy_assets_c21827d4b5b1e098.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.appresolverux_cw5n1h2txyewy_b9e567f99535ffbf.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.appresolverux_cw5n1h2txyewy_pris_298da63cdcd2b7c3.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.appresolverux_cw5n1h2txyewy_assets_3e7d93c07af8d918.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.apprep.chxapp_cw5n1h2txyewy_f66b8c80bd9c0bf7.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.apprep.chxapp_cw5n1h2txyewy_pris_32b48c18fef4b703.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.apprep.chxapp_cw5n1h2txyewy_assets_b738fcf25dd159f0.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.addsuggestedfolderstolibrarydialog_cw5n1h2txyewy_42e3ddae53f1a7cc.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.windows.addsuggestedfolderstolibrarydialog_cw5n1h2txyewy_assets_0fcf00f1a0cbe93d.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.win32webviewhost_cw5n1h2txyewy_dc7f0351d4ad5d00.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.win32webviewhost_cw5n1h2txyewy_pris_cff87b484a86df16.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.win32webviewhost_cw5n1h2txyewy_assets_01a46ab27cf3e943.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.ppiprojection_cw5n1h2txyewy_ffa89c1a94ba2c74.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.ppiprojection_cw5n1h2txyewy_pris_876d294ca326b93c.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.ppiprojection_cw5n1h2txyewy_assets_9a1e058120f82961.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.ppiprojection_cw5n1h2txyewy_assets_fonts_9199cd45cc1dc919.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_9e9a8bf16c9ce6fb.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_pris_54732ccdf1f56e95.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_visualprofiler_31c45221d4cb849d.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_visualprofiler_js_a8f01f5afa26d7fe.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_visualprofiler_js_hubgraphs_1e54f4890cd85af2.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_visualprofiler_js_cpuusage_1243fe54b3c33ef5.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_visualprofiler_js_controls_1157de3cb46e4242.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_visualprofiler_images_b2ea4b46687fb713.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_storage_7a1e52c1c21a9b31.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_storage_remote_11ebffa9da3fca1d.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_storage_images_1340465dd71e167d.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_serviceworker_a9f39a038cc3b7a3.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_serviceworker_remote_55dc7b5801fb6335.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_serviceworker_images_6510545beb249a55.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_remote_7a244bd9946463d6.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_remote_storage_f70892c1f75cfbcb.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_remote_serviceworker_353d4d6caf0180b1.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_remote_network_efaedd2e00b02226.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_remote_memoryanalyzer_501acfeebbf2699d.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_remote_emulation_591aa5980a836822.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_remote_console_d9535ed0236baa7f.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_popup_1a69c5f1c3ce09d6.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_pluginhost_7855451f8cc6d5e5.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_network_7ab47f47c1114fce.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_network_styles_1422443bc51bd488.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_network_remote_1428492fc551de78.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_network_images_157c8fe3c2302ad8.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_network_common_1658cff9c037a11d.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_network_common_external_7f92c7900210e5ac.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_memoryanalyzer_de20a234bbe7c54f.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_memoryanalyzer_images_b1ecedba4965354b.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_header_7b8c91c59139b693.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_header_remote_0db396303ddca9c5.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_header_images_fb78fc5c5a0cc765.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_frontend_739b19554a8c20f2.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_frontend_host_api_data_ed750ad946fce5e8.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_f12host_7bac9fd7bf1afefb.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_emulation_fababcde97c7d402.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_emulation_remote_1475c96e2f3f2e62.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_elements_71ccc64b4d409b7d.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_dom_f226e3a6fa163210.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_dom_styles_768f421567e95a56.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_dom_styles_winningview_ed97ab3258420ac1.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_dom_styles_styleview_88bd78c42d6d2ad0.cdf-ms Идентификатор дескриптора: 0x70 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_dom_styles_changesview_3db702d077f4d0ac.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_dom_images_77e98dbd64fdb0a6.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_dom_domtree_78a1d1c302cf8918.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_debugger_81168649365dfec5.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_debugger_watches_1bb8fcf67725ae40.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_debugger_watches_images_df31852dca1c5088.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_debugger_remote_11c812e70631185f.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_debugger_languageservice_32e32ad1556f94fc.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_debugger_languageservice_images_1b734cca58996f4e.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_debugger_images_11b5f8b3068a4e7f.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_debugger_cursor_11aa146906c830c9.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_debugger_cursor_images_ba8eeae0d1df5481.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_debugger_callstack_633aff4012f6a965.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_debugger_callstack_images_9306b1fde7cddd57.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_debugger_breakpoints_af355a13795264e7.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_debugger_breakpoints_images_4880219d231e1c07.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_console_7c54de03bd35687d.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_7c54d2a38f4a267b.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_tabcontrol_f71334f0c01c2e5f.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_slickgrid_03235f7c2ba7bcf3.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_slickgrid_plugins_58362696fb879581.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_resourcesview_cb7043508efcf9d9.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_remote_86e6a9426c617031.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_perftools_4757a4fe44691a93.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_perftools_images_a51757acdeb17b07.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_perftools_controls_ca0aefc3c1cf16ed.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_objectview_212bfb620eb6c4fb.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_monaco-editor_81919faf0ad34c24.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_monaco-editor_min_836d0bedf622f96e.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_monaco-editor_min_vs_039e33851d5947ad.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_monaco-editor_min_vs_lan_ec5dc157ad6c2803.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_monaco-editor_min_vs_lan_95fdc9aeaaab6af6.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_monaco-editor_min_vs_lan_b3bb6a206b246432.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_monaco-editor_min_vs_lan_b3bb6b0a6b24624b.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_monaco-editor_min_vs_lan_cfd626ca1b2d84ad.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_monaco-editor_min_vs_lan_cfd623421b2d89d0.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_monaco-editor_min_vs_lan_eebfb637d5a00776.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_monaco-editor_min_vs_edi_78ddde63e2dab0fa.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_monaco-editor_min_vs_bas_f2dc8cf7872a49df.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_monaco-editor_min_vs_bas_53a9eb248d463f89.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_monaco-editor_min_vs_bas_7aeda93bec9377b0.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_monaco-editor_min_vs_bas_b1551e46af82ed02.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_modelview_68ab429493cd05f1.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_jquery_76027b9686fc0651.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_intellisense_721db7d304085d2e.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_images_74ac0f6e88918dd1.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_images_colorpicker_e8c4095bbb47dc9c.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_grid_6c4c834909422a5d.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_formatter_c8a6147a8388b7fb.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_formatter_typescript_13617520d76f3fac.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_formatter_html_64972c0dbcaefc6e.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_formatter_css_7581a4e8169f757e.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_external_25adc88278dc605c.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_editor_6e5693f2911e8b00.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_dommutations_bcd1772e3aeea97b.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_dommutations_images_ba4ff6f874a9edb1.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_controls_231926087bfb24b3.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedgedevtoolsclient_8wekyb3d8bbwe_23_common_controls_listcontrol_eef1e9f6cc02fe9c.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_43d095bdcce4e130.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_pris_4719a634d2c04eec.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_f8075bc7ad02362b.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_webnotes_febc6b7abccb2874.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_readingview_e64e82231b0e5fce.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_readingview_css_3066d24b0856bea1.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_persona_4fd2132d4ad15439.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_offlinetabs_7d551ad6791e5fc2.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_offlinetabs_offlinetabs_files_606f2d436ca9f85f.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_hostextensions_pinjsapi_85e7afd298d161a3.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_hostextensions_pinjsapi_content_bce4d61c88fff4ac.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_hostextensions_learningtools_25cb263578b00eec.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_hostextensions_autoformfill_dcb3be839f31d5cd.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_hostextensions_autoformfill_prefill_578958a487bb2d19.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_hostextensions_autoformfill_document_3a04a7fa7c0c1008.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_hostextensions_autoformfill_content_5091a4e29314f3d6.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_fonts_206f147a74e786c9.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_errorpages_73ec08ffb6105e23.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_dictionary_0a4f3c3a52411629.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_contextmenu_6a54d142fb74801d.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_bookviewer_990e8d61fcad5c14.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_bookviewer_js_78c5ff49aa9e261b.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_bookviewer_css_38b1881b8abcd7a5.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_booklibrary_3e904335483f7fff.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.microsoftedge_8wekyb3d8bbwe_assets_applicationguard_8359e7f74deb583c.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.lockapp_cw5n1h2txyewy_6f26550558264bb4.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.lockapp_cw5n1h2txyewy_assets_e61eed4a8582e20d.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.ecapp_8wekyb3d8bbwe_ac10c70bb3589f82.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.ecapp_8wekyb3d8bbwe_assets_ae58e904a4695adf.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.creddialoghost_cw5n1h2txyewy_eb70173831f35b36.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.creddialoghost_cw5n1h2txyewy_pris_093f1878259fce2a.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.creddialoghost_cw5n1h2txyewy_assets_d68cc6b09c78eb2b.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.bioenrollment_cw5n1h2txyewy_0e6f6a5d1f5a1430.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.bioenrollment_cw5n1h2txyewy_pris_f9ee3e9148083766.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.bioenrollment_cw5n1h2txyewy_fonts_f2b30f7dd2e0fe08.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.asynctextservice_8wekyb3d8bbwe_3d79f655ade1fc1f.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.asynctextservice_8wekyb3d8bbwe_assets_5cf354e3143c045e.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.accountscontrol_cw5n1h2txyewy_fc38de406c5c8223.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.accountscontrol_cw5n1h2txyewy_pris_f2961b1ae98936c3.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.accountscontrol_cw5n1h2txyewy_assets_b23e6d9669ed5578.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.aad.brokerplugin_cw5n1h2txyewy_d48a5fb790740a92.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.aad.brokerplugin_cw5n1h2txyewy_pris_8c9cc4e4b2c16ab2.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.aad.brokerplugin_cw5n1h2txyewy_css_af32787f971fc4dd.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_microsoft.aad.brokerplugin_cw5n1h2txyewy_assets_4318eb5d347aa2b1.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_inputapp_cw5n1h2txyewy_9df2da13dd3956d1.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_systemapps_inputapp_cw5n1h2txyewy_assets_154aa123a347aa26.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_21f9a9c4a2f8b514.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_winevt_39519e6af36cf6a7.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_winevt_logs_2ccd04a261f738ce.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_wbem_06656d9fdf2f8577.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_wbem_ru-ru_438138a6b5df4494.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_tasks_5f1dd67a5a1ae70e.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_tasks_microsoft_b7abd682baafefc2.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_tasks_microsoft_windows_a67c0a7b7fef87b3.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_tasks_microsoft_windows_remoteapp_and_desktop_connections_update_c0beaecbfc21a5e1.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_sru_066563e7d047bae2.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_spp_tokens_ppdlic_0f09ba294211a24b.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_spp_store_2.0_774a618ff1521716.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_speech_onecore_common_60bf750299e8ab15.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_ru-ru_5b50e7f65fce4fdb.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_perceptionsimulation_782fb292607e7bbe.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_perceptionsimulation_assets_26be616134e2f347.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_migwiz_2650d8d30fee1fe9.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_migration_927a21df1acd7c18.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_logfiles_sam_5b4992809d2e7248.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_licenses_neutral_volume_professional_7a83c2f800cfb9d0.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_licenses_neutral_oem_professional_3cf2af13e10f52ed.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_licenses_neutral_default_professional_88d58373f32b5992.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_icsxml_1f8f393b196e65ae.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_en-us_429cd25484dc6f94.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_drivers_dc1b782427b5ee1b.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_de-de_40b6416a87b647ef.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_ddfs_06654947df2fbc31.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_boot_06654401df2fc50e.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_appv_066541f9df2fc831.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_appraiser_59bebec9f06db09b.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_shellexperiences_2912c63bd045ac45.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_servicing_fc2045b9046cc796.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_servicing_editions_596ea20ddafb9f7d.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_security_fe3ad40cd6e08c7c.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_schemas_9f2c881475a483d6.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_schemas_tsworkspace_8eac79c1e59127ee.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_provisioning_cc9458acec1840ff.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_provisioning_autopilot_705495c13beba2f8.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_printdialog_af71281e89102b83.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_printdialog_pris_054fcec654fe3127.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_policydefinitions_89130cdfc4d9c27c.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_policydefinitions_ru-ru_3947e28191bee0bf.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_pla_rules_0bde462ce96f215e.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_pla_reports_a2604845b2b380ca.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_performance_02bd33cc045df684.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_performance_winsat_ac47b36afb2fa68e.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_performance_winsat_datastore_34fe222e5de27d61.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_l2schemas_d7bb5637381de58c.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_installer_0d1280e2e633dc00.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_inf_3f581daba4c8c835.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_immersivecontrolpanel_1e6ccf0e6a91b570.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_immersivecontrolpanel_ru-ru_81ee2cd677c35139.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_immersivecontrolpanel_pris_a05890fcf353f1d8.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_diagtrack_0600d0deecd2b5a2.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_diagtrack_settings_56f8a3f40ce5a801.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_diagtrack_scenarios_ce5f6e43b7ab3f41.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_containers_serviced_07c9b2b35f82b615.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_boot_40104b85a18bfcb2.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_boot_pcat_0f8924c0debe64e4.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_boot_pcat_qps-ploc_109d95b40d3e11cb.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_boot_misc_pcat_6b00b12988eafd38.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_boot_dvd_efi_de3c4ceb52549e1c.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_boot_dvd_efi_en-us_8245c3aed97c0844.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_bcastdvr_fab1ebc0dbf2dacb.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_apppatch_1143992cbbbebcab.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_appcompat_programs_99c7f419bd54f4ca.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_appcompat_appraiser_33781004733ffeee.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_appcompat_appraiser_telemetry_94274e99519f58a9.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_73615b64075aa65f.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_appdata_33f0d5f51e505ec2.cdf-ms Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_appdata_local_bc5dd6ae41aaaeeb.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_appdata_local_microsoft_3433db0fbe07ab7f.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\users_default_appdata_local_microsoft_windows_9e28651fd972d480.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_usoshared_logs_user_cc47ba2ac1c4ac78.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_usoshared_logs_system_1d654048a9eadf5a.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_usoprivate_f18983166baec8e8.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_softwaredistribution_ae0bdc9bb1bbdfab.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_fe5c6d762edd2110.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_defender_advanced_threat_protection_827f103853495477.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_defender_advanced_threat_protection_trace_948df0f7e3c42652.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_defender_advanced_threat_protection_temp_7268e2d9fd6b25f5.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_defender_advanced_threat_protection_temp_psscriptoutputs_3a0e1d2536445291.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_defender_advanced_threat_protection_downloads_9aff56413f03e0ba.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_defender_advanced_threat_protection_datacollection_a0b92996ab2dc299.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_defender_advanced_threat_protection_cyber_946bea51e45d4954.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_defender_advanced_threat_protection_cache_946bebb1e45d47cb.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_cae2264614449191.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_start_menu_fde55420546edfe6.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_start_menu_programs_d672ba09d81e87ff.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_start_menu_programs_accessories_bb30590aa3d31891.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_parental_controls_bea881b14dc7da94.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_parental_controls_settings_8a26e500c57de871.cdf-ms Идентификатор дескриптора: 0x9c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_packagedeventproviders_c79719361ec06661.cdf-ms Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_apprepository_3e49394d38e6ac94.cdf-ms Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_apprepository_packages_711aa2dd7039ca9d.cdf-ms Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_windows_apprepository_families_5e2e105f8c5e974e.cdf-ms Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_storage_health_9e678c58bd8432a1.cdf-ms Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:38 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_provisioning_929be8282aecbf17.cdf-ms Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_provisioning_assetcache_8fbe865af4949dd7.cdf-ms Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_provisioning_assetcache_cellularux_843105bb528cd98c.cdf-ms Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\programdata_microsoft_appv_setup_c6b9e738c86ef84a.cdf-ms Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_ffd0cbfc813cc4f1.cdf-ms Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windowsapps_8909e9aceeb80d44.cdf-ms Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windowsapps_mutablebackup_726f6fa1fbd23cbc.cdf-ms Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windowsapps_mutable_4773d03dc650afca.cdf-ms Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windowsapps_deleted_382e0caddd5f5e75.cdf-ms Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windows_defender_advanced_threat_protection_096829c909d5eb56.cdf-ms Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windows_defender_advanced_threat_protection_classification_47699381a5289670.cdf-ms Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windows_defender_advanced_threat_protection_classification_configuration_e1d4288a0384bffc.cdf-ms Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windows_defender_3e33901162166ae9.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_windows_defender_ru-ru_a60808950baceef6.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_modifiablewindowsapps_230f2b3b95f10a16.cdf-ms Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows Defender\ru-RU\MpEvMsg.dll.mui Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)(AU;IDSAFA;0x1000000;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows Defender Advanced Threat Protection\SenseCncProxy.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)(AU;IDSAFA;0x1000000;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows Defender Advanced Threat Protection\SenseCncPS.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)(AU;IDSAFA;0x1000000;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows Defender Advanced Threat Protection\SenseIR.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)(AU;IDSAFA;0x1000000;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows Defender Advanced Threat Protection\SenseMirror.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)(AU;IDSAFA;0x1000000;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exe Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)(AU;IDSAFA;0x1000000;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files\Windows Defender Advanced Threat Protection\Classification\SenseCE.exe Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)(AU;IDSAFA;0x1000000;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\apppatch\AcRes.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\bcastdvr\KnownGameList.bin Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Boot\DVD\EFI\en-US\efisys.bin Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Boot\DVD\EFI\en-US\efisys_noprompt.bin Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Boot\PCAT\qps-ploc\bootmgr.exe.mui Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Containers\serviced\WindowsDefenderApplicationGuard.bin Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\ImmersiveControlPanel\ru-RU\SystemSettings.exe.mui Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\INF\sceregvl.inf Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\INF\secrecs.inf Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\PolicyDefinitions\DeviceSetup.admx Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\PolicyDefinitions\Netlogon.admx Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\PolicyDefinitions\Windows.admx Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\PolicyDefinitions\WindowsUpdate.admx Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\PolicyDefinitions\ru-RU\Netlogon.adml Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\PolicyDefinitions\ru-RU\Windows.adml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\PolicyDefinitions\ru-RU\WindowsUpdate.adml Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Provisioning\Microsoft-Desktop-Provisioning-Sequence.dat Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Provisioning\Microsoft-Desktop-Provisioning.dat Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\servicing\Editions\EditionMatrix.xml Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\ShellExperiences\Insights.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\ShellExperiences\PenWorkspace.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\ShellExperiences\PeoplePane.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\aadtb.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\acmigration.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\advapi32.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\aeinv.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\aepic.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\aitstatic.exe Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\appraiser.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AppVEntSubsystemController.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AppVEntSubsystems64.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\appwiz.cpl Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AppXDeploymentClient.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AppXDeploymentServer.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\audiodg.exe Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AudioEndpointBuilder.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AudioEng.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AUDIOKSE.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\audioresourceregistrar.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\AudioSes.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\audiosrv.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\autopilot.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\BTAGService.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Chakra.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Chakradiag.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Chakrathunk.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\changepk.exe Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\cloudAP.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\CloudNotifications.exe Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\cmintegrator.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\CompatTelRunner.exe Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dciman32.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dcntel.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dcomp.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\deviceaccess.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DeviceCensus.exe Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\devinv.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\diagtrack.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DMAlertListener.ProxyStub.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\domgmt.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dosvc.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dot3api.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dot3msm.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dot3svc.dll Идентификатор дескриптора: 0x9c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DrtmAuth1.bin Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DrtmAuth10.bin Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DrtmAuth11.bin Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DrtmAuth12.bin Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DrtmAuth2.bin Идентификатор дескриптора: 0x9c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DrtmAuth3.bin Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DrtmAuth4.bin Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DrtmAuth5.bin Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DrtmAuth6.bin Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DrtmAuth7.bin Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DrtmAuth8.bin Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\DrtmAuth9.bin Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\dwmcore.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\enterprisecsps.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\es.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\FlightSettings.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fontdrvhost.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\fontsub.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\gdi32full.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\GdiPlus.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\generaltel.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\HologramCompositor.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\HologramWorld.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\hvax64.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\hvix64.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\hvloader.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Hydrogen.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ias.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\iasacct.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\iaspolcy.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\iasrad.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\icsunattend.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\IndexedDbLegacy.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\InstallService.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\InstallServiceTasks.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\invagent.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ipnathlp.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\jscript.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\kdhvcom.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\kerberos.dll Идентификатор дескриптора: 0x9c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\kernel32.dll Идентификатор дескриптора: 0x9c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\KernelBase.dll Идентификатор дескриптора: 0x9c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\LanguageComponentsInstaller.dll Идентификатор дескриптора: 0x9c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\LicensingUI.exe Идентификатор дескриптора: 0x9c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\logoncli.dll Идентификатор дескриптора: 0x9c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\lpk.dll Идентификатор дескриптора: 0x9c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MbaeApiPublic.dll Идентификатор дескриптора: 0x9c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mf3216.dll Идентификатор дескриптора: 0x9c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mfcore.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mfmp4srcsnk.dll Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mfmpeg2srcsnk.dll Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Microsoft.Uev.AppAgent.dll Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Microsoft.Uev.Office2010CustomActions.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Microsoft.Uev.Office2013CustomActions.dll Идентификатор дескриптора: 0x90 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MSAudDecMFT.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\msctf.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MSFlacDecoder.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mshtml.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\msi.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\msimg32.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\msimsg.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\msmpeg2vdec.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mstsc.exe Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\mstscax.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MusNotification.exe Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MusNotificationUx.exe Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MusNotifyIcon.exe Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\MusUpdateHandlers.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\netlogon.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\nltest.exe Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ntshrui.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\offlinesam.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\omadmclient.exe Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\OneCoreUAPCommonProxyStub.dll Идентификатор дескриптора: 0x9c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\pacjsworker.exe Идентификатор дескриптора: 0x9c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\pcadm.dll Идентификатор дескриптора: 0x9c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\pcaevts.dll Идентификатор дескриптора: 0x9c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\pcalua.exe Идентификатор дескриптора: 0x9c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\pcasvc.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\phoneactivate.exe Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\policymanagerprecheck.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\rascustom.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\rasmans.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\rdpclip.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\remoteaudioendpoint.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\rpcss.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\runexehelper.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\samlib.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\samsrv.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\scecli.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SettingsHandlers_Language.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SettingsHandlers_nt.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SHCore.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\slc.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\slcext.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\SpatialAudioLicenseSrv.exe Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\sppc.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\sppcext.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\sppcommdlg.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\sppsvc.exe Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\srumapi.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\srumsvc.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\StorageUsage.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\StorSvc.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\t2embed.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\taskschd.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\tbauth.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\tellib.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\TokenBroker.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\TokenBrokerCookies.exe Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\tsgqec.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\TSWorkspace.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\twinui.pcshell.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\uDWM.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\umpo.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\UpdateDeploymentProvider.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\updatepolicy.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\UpgradeResultsUI.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\user32.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\usocoreworker.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\UtcDecoderHost.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\utcutil.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\vbscript.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\VPNv2CSP.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WaaSMedicAgent.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WaaSMedicCapsule.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WaaSMedicPS.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WaaSMedicSvc.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbadmin.exe Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\webservices.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wevtsvc.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\win32appinventorycsp.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Win32CompatibilityAppraiserCSP.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\win32k.sys Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\win32kbase.sys Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\win32kfull.sys Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\win32u.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.CloudStore.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Devices.Custom.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Devices.Custom.ps.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Devices.Enumeration.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Internal.Management.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Management.EnrollmentStatusTracking.ConfigProvider.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Management.Service.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Media.Protection.PlayReady.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Networking.Vpn.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Security.Authentication.Web.Core.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.Storage.ApplicationData.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.UI.Input.Inking.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.UI.Xaml.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.UI.Xaml.Resources.Common.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Windows.UI.XamlHost.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WindowsCodecs.dll Идентификатор дескриптора: 0x84 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\windowsperformancerecordercontrol.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\winhttp.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wininet.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WinSAT.exe Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WiredNetworkCSP.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wksprtPS.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WorkFolders.exe Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WorkfoldersControl.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WorkFoldersShell.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\workfolderssvc.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wow64win.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Wpc.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WpcApi.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WpcDesktopMonSvc.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WpcMon.exe Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WpcProxyStubs.dll Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WpcRefreshTask.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\WpcTok.exe Идентификатор дескриптора: 0x6c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wpnapps.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wpncore.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wpr.exe Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wsecedit.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:39 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wuauclt.exe Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wuaueng.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wups2.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wuuhext.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wwanprotdim.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wwansvc.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Boot\winload.efi Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Boot\winload.exe Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\de-DE\comdlg32.dll.mui Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\http.sys Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\hvservice.sys Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\KNetPwrDepBroker.sys Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\drivers\srv2.sys Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\en-US\netmsg.dll.mui Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\migration\sppmig.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\migwiz\cmi2migxml.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\migwiz\csiagent.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\migwiz\migcore.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\migwiz\mighost.exe Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\migwiz\migres.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\migwiz\migstore.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\migwiz\MXEAgent.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\PerceptionSimulation\PerceptionSimulationInput.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\PerceptionSimulation\PerceptionSimulationInput.exe Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\CloudNotifications.exe.mui Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\deviceregistration.dll.mui Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\DictationManager.dll.mui Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\dsreg.dll.mui Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\dsregcmd.exe.mui Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\dsregtask.dll.mui Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\eappgnui.dll.mui Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\eapphost.dll.mui Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\eapsvc.dll.mui Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\MitigationClient.dll.mui Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\netmsg.dll.mui Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\SecurityHealthAgent.dll.mui Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\SettingsHandlers_OneDriveBackup.dll.mui Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\SimAuth.dll.mui Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\TtlsAuth.dll.mui Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\TtlsCfg.dll.mui Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\umrdp.dll.mui Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\UpdatePolicy.dll.mui Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\UserDeviceRegistration.dll.mui Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\UserDeviceRegistration.Ngc.dll.mui Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\Win32_DeviceGuard.dll.mui Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\WpcMon.exe.mui Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\ru-RU\wsecedit.dll.mui Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\Speech_OneCore\common\Windows.Speech.Pal.Desktop.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\System32\wbem\wbemcore.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\InputApp_cw5n1h2txyewy\resources.pri Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\InputApp_cw5n1h2txyewy\WindowsInternal.ComposableShell.Experiences.TextInput.InputApp.exe Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\AAD.Core.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\AAD.Core.winmd Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\Microsoft.AAD.BrokerPlugin.exe Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\Microsoft.AAD.BrokerPlugin.winmd Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.AccountsControl_cw5n1h2txyewy\AccountsControlHost.exe Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.AccountsControl_cw5n1h2txyewy\AccountsControlUI.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.AsyncTextService_8wekyb3d8bbwe\Microsoft.AsyncTextService.exe Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.AsyncTextService_8wekyb3d8bbwe\resources.pri Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.BioEnrollment_cw5n1h2txyewy\BioEnrollmentHost.exe Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.BioEnrollment_cw5n1h2txyewy\BioEnrollmentUI.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.BioEnrollment_cw5n1h2txyewy\resources.pri Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\microsoft.creddialoghost_cw5n1h2txyewy\CredDialogHost.exe Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.ECApp_8wekyb3d8bbwe\ecsystem.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.ECApp_8wekyb3d8bbwe\GazeInputInternal.winmd Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.ECApp_8wekyb3d8bbwe\Microsoft.ECApp.exe Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.ECApp_8wekyb3d8bbwe\resources.pri Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.LockApp_cw5n1h2txyewy\LockApp.exe Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.LockApp_cw5n1h2txyewy\resources.pri Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Cortana.ObjectModel.winmd Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\eData.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\eModel.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\eView.dll Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdge.exe Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftPdfReader.exe Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\NewTabPageHost.ObjectModel.winmd Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\resources.pri Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.PPIProjection_cw5n1h2txyewy\Receiver.exe Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.PPIProjection_cw5n1h2txyewy\resources.pri Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Win32WebViewHost_cw5n1h2txyewy\Win32WebViewHost.exe Идентификатор дескриптора: 0xac Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.AddSuggestedFoldersToLibraryDialog_cw5n1h2txyewy\AddSuggestedFoldersToLibraryDialog.exe Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.AddSuggestedFoldersToLibraryDialog_cw5n1h2txyewy\resources.pri Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.AppRep.ChxApp_cw5n1h2txyewy\CHXSmartScreen.exe Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.AppResolverUX_cw5n1h2txyewy\AppResolverUX.exe Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.AppResolverUX_cw5n1h2txyewy\resources.pri Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.AssignedAccessLockApp_cw5n1h2txyewy\App.xbf Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.AssignedAccessLockApp_cw5n1h2txyewy\AssignedAccessLockApp.exe Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.AssignedAccessLockApp_cw5n1h2txyewy\AssignedAccessLockApp.winmd Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.AssignedAccessLockApp_cw5n1h2txyewy\iotassignedaccesslockframework.winmd Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.AssignedAccessLockApp_cw5n1h2txyewy\MainPage.xbf Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.AssignedAccessLockApp_cw5n1h2txyewy\resources.pri Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CallingShellApp_cw5n1h2txyewy\CallingShellApp.exe Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CallingShellApp_cw5n1h2txyewy\CallingShellAppPresenters.dll Идентификатор дескриптора: 0xb4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CallingShellApp_cw5n1h2txyewy\resources.pri Идентификатор дескриптора: 0xb4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CallingShellApp_cw5n1h2txyewy\WindowsInternal.Shell.Experiences.Calling.winmd Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CallingShellApp_cw5n1h2txyewy\WindowsInternal.Shell.Experiences.CallingShellAppControls.dll Идентификатор дескриптора: 0x98 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CapturePicker_cw5n1h2txyewy\CapturePicker.exe Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CapturePicker_cw5n1h2txyewy\resources.pri Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\AntiTheft.winmd Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\CloudDomainJoin.DataModel.winmd Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\cloudexperiencehostapi.provisioning.winmd Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\CloudExperienceHostAPI.SyncSettings.winmd Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\CloudExperienceHostAPI.winmd Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\CloudExperienceHostBroker.Account.winmd Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\CloudExperienceHostBroker.Cortana.winmd Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\CloudExperienceHostBroker.Hello.winmd Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\CloudExperienceHostBroker.LocalNgc.winmd Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\CloudExperienceHostBroker.RetailDemo.winmd Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\CloudExperienceHostBroker.SyncEngine.winmd Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\ContentManagement.winmd Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\enterprisedevicemanagement.enrollment.winmd Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\enterprisedevicemanagement.service.winmd Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\Family.Cache.winmd Идентификатор дескриптора: 0xb4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\Microsoft.CloudExperienceHost.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\Microsoft.CloudExperienceHost.winmd Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\microsoft.resourceaccountmanager.winmd Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\MicrosoftAccount.Extension.winmd Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\MicrosoftAccount.TokenProvider.Core.dll Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\MicrosoftAccount.TokenProvider.Core.winmd Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\MicrosoftAccount.UserOperations.winmd Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\RetailDemo.Internal.winmd Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\SystemSettings.DataModel.winmd Идентификатор дескриптора: 0x8c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\UnifiedEnrollment.DataModel.winmd Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\userdeviceregistration.ngc.winmd Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.CloudExperienceHost_cw5n1h2txyewy\pris\resources.ru-RU.pri Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.ContentDeliveryManager_cw5n1h2txyewy\ContentDeliveryManager.Background.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.ContentDeliveryManager_cw5n1h2txyewy\ContentManagementSDK.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\ActionUriProxyStub.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\ActionUriServer.exe Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\BingConfigurationClient.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\BingLocalSearchService.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\CGSVCBackgroundTask.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\ContactPermissionsActionUriHandlers.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\ContactPermissionsProxyStub.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.Actions.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.ActionUriHandlers.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.AppToApp.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.BackgroundTask.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.ContactPermissions.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.Core.dll Идентификатор дескриптора: 0xb4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.DoNotDisturb.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.IntentExtraction.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.Internal.Search.winmd Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.LocalSearch.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.ObjectModel.winmd Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.Places.ViewModels.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.Reminders.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.Search.winmd Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.Signals.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.SmartExtraction.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.SPA.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.SPA.ProxyStub.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.SPA.winmd Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.Sync.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.Sync.Worker.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\Cortana.Tips.winmd Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\CortanaApi.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\CortanaApi.ProxyStub.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\CortanaCoreProxyStub.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\CortanaSignalsManagerProxyStub.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\CortanaSignalsProxyStub.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\CortanaSpeechux.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\CortanaSpeechUXRes.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\CortanaSyncProxyStub.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\DNDActionUriHandlers.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\DoNotDisturbProxyStub.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\JsonReader.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\microsoft.bing.client.graph.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\OnlineServices.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\PhonePCVoiceAgents.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\PlacesAutoSuggestProxyStub.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\PlacesProxyStub.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\PlacesServer.exe Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\PPIVoiceAgents.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\ReactiveAgentsCommon.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\ReminderActionUriHandlers.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RemindersProxyStub.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RemindersServer.exe Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RemindersShareTargetApp.exe Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RemindersUI.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\resources.pri Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RulesActionUriHandler.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RulesBackgroundTasks.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RulesProxyStub.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RulesService.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RulesServiceProxyStub.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SAPIBackgroundTask.dll Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SharedVoiceAgents.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\ShellActionUriHandlers.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SignalsManager.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\TextEntityExtractorProxy.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\tws.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\VadSharedVoiceAgents.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\VoiceAgentsCommon.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.FileExplorer_cw5n1h2txyewy\FileExplorer.exe Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.FileExplorer_cw5n1h2txyewy\resources.pri Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.FilePicker_cw5n1h2txyewy\FilePicker.exe Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.FilePicker_cw5n1h2txyewy\resources.pri Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\microsoft.windows.narratorquickstart_8wekyb3d8bbwe\App.xbf Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\microsoft.windows.narratorquickstart_8wekyb3d8bbwe\ConfirmCloseContentDialog.xbf Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\microsoft.windows.narratorquickstart_8wekyb3d8bbwe\MainPage.xbf Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\microsoft.windows.narratorquickstart_8wekyb3d8bbwe\NarratorHomePage.xbf Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\microsoft.windows.narratorquickstart_8wekyb3d8bbwe\NarratorQuickStart.exe Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\microsoft.windows.narratorquickstart_8wekyb3d8bbwe\OnlinePage.xbf Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\microsoft.windows.narratorquickstart_8wekyb3d8bbwe\QuickStartOfflinePage.xbf Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\microsoft.windows.narratorquickstart_8wekyb3d8bbwe\TileButton.xbf Идентификатор дескриптора: 0x9c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\microsoft.windows.narratorquickstart_8wekyb3d8bbwe\WhatsNewOfflinePage.xbf Идентификатор дескриптора: 0x9c Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.OOBENetworkCaptivePortal_cw5n1h2txyewy\OOBENetworkCaptivePortal.exe Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.OOBENetworkConnectionFlow_cw5n1h2txyewy\OOBENetworkConnectionFlow.exe Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.PeopleExperienceHost_cw5n1h2txyewy\PeopleExperienceHost.exe Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.PeopleExperienceHost_cw5n1h2txyewy\resources.pri Идентификатор дескриптора: 0xa8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.PinningConfirmationDialog_cw5n1h2txyewy\PinningConfirmationDialog.exe Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.PinningConfirmationDialog_cw5n1h2txyewy\resources.pri Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\resources.pri Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\SecHealthUI.exe Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\SecHealthUIAppShell.winmd Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\SecHealthUIDataModel.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\SecHealthUIDataModel.winmd Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\SecHealthUITelemetry.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\SecHealthUITelemetry.winmd Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\SecHealthUIViewModels.dll Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecHealthUI_cw5n1h2txyewy\SecHealthUIViewModels.winmd Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecureAssessmentBrowser_cw5n1h2txyewy\ActivationErrorDialog.xbf Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecureAssessmentBrowser_cw5n1h2txyewy\AddressBoxControl.xbf Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecureAssessmentBrowser_cw5n1h2txyewy\App.xbf Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecureAssessmentBrowser_cw5n1h2txyewy\AssessmentPage.xbf Идентификатор дескриптора: 0xb4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecureAssessmentBrowser_cw5n1h2txyewy\ErrorPage.xbf Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecureAssessmentBrowser_cw5n1h2txyewy\InformationalAlert.xbf Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecureAssessmentBrowser_cw5n1h2txyewy\LockdownDialog.xbf Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecureAssessmentBrowser_cw5n1h2txyewy\NavigationLandingPage.xbf Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecureAssessmentBrowser_cw5n1h2txyewy\NetworkConnectivityErrorPage.xbf Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecureAssessmentBrowser_cw5n1h2txyewy\ProgressPage.xbf Идентификатор дескриптора: 0xb0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecureAssessmentBrowser_cw5n1h2txyewy\SchemaActivationEmptyPage.xbf Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecureAssessmentBrowser_cw5n1h2txyewy\SecureAssessment_JSBridge.dll Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecureAssessmentBrowser_cw5n1h2txyewy\SecureAssessment_JSBridge.winmd Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.SecureAssessmentBrowser_cw5n1h2txyewy\SecureAssessmentBrowser.exe Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy\StartMenuExperienceHost.exe Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.XGpuEjectDialog_cw5n1h2txyewy\resources.pri Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:40 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.Windows.XGpuEjectDialog_cw5n1h2txyewy\XGpuEjectDialog.exe Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\App.xbf Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\GamingTcuiHelpers.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\GamingUI.XboxLive.InternalHelpers.winmd Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\MainPage.xbf Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\StyleDictionary.xbf Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\XBox.TCUI.exe Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\XBox.TCUI.Resource.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\XBox.TCUI.Shell.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\XBox.TCUI.Tracing.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\XboxExperienceServices.dll Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\Control\ErrorStatePane.xbf Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\Control\GameProgress\GameProgressStatItem.xbf Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\Control\GameProgress\GameProgressView.xbf Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\Control\ProgressRing\ProgressRing.xbf Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\Fonts\Icons.xbf Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\Pages\ConnectedStorage\ConflictResolutionPage.xbf Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\Pages\ConnectedStorage\ConnectedStorageHomePage.xbf Идентификатор дескриптора: 0xa0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\Pages\ConnectedStorage\LockContentionPage.xbf Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\Pages\ConnectedStorage\StopOrKeepSyncingPage.xbf Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\Pages\ConnectedStorage\SyncFailurePage.xbf Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\Pages\ConnectedStorage\SyncProgressPage.xbf Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\Pages\DebugDashboard\DebugDashboard.xbf Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\Resources\Colors_Dark.xbf Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\Resources\Colors_HighContrast.xbf Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\Resources\Colors_Light.xbf Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\Resources\Resources.xbf Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\Resources\Styles.xbf Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\Microsoft.XboxGameCallableUI_cw5n1h2txyewy\Themes\Generic.xbf Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\ParentalControls_cw5n1h2txyewy\resources.pri Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\ParentalControls_cw5n1h2txyewy\WpcUapApp.exe Идентификатор дескриптора: 0x94 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\ParentalControls_cw5n1h2txyewy\pris\resources.ru-RU.pri Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\resources.pri Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\appwiz.cpl.mun Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\Chakra.dll.mun Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\dwmcore.dll.mun Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\msctf.dll.mun Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\mshtml.dll.mun Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\mstsc.exe.mun Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\mstscax.dll.mun Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\ntshrui.dll.mun Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\wsecedit.dll.mun Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\Microsoft.Windows.SecHealthUI\Microsoft.Windows.SecHealthUI.pri Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SystemResources\Windows.UI.SettingsAppThreshold\pris\Windows.UI.SettingsAppThreshold.ru-RU.pri Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\aadtb.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\advapi32.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\aepic.dll Идентификатор дескриптора: 0xbc Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\AppVEntSubsystems32.dll Идентификатор дескриптора: 0xc0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\appwiz.cpl Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\AppXDeploymentClient.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\BTAGService.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Chakra.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Chakradiag.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Chakrathunk.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\CloudNotifications.exe Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\cmintegrator.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\CPFilters.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\dciman32.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\dcomp.dll Идентификатор дескриптора: 0xc0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\deviceaccess.dll Идентификатор дескриптора: 0xc0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\DMAlertListener.ProxyStub.dll Идентификатор дескриптора: 0xc0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\dot3api.dll Идентификатор дескриптора: 0xc0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\dot3msm.dll Идентификатор дескриптора: 0xc0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\edgehtml.dll Идентификатор дескриптора: 0xc4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\es.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\FlightSettings.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\fontdrvhost.exe Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\fontsub.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\gdi32full.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\GdiPlus.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ias.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\iasacct.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\iaspolcy.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\iasrad.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\IndexedDbLegacy.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\InstallService.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\InstallServiceTasks.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\jscript.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\kerberos.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\kernel32.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\KernelBase.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\logoncli.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\lpk.dll Идентификатор дескриптора: 0xa4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\MbaeApiPublic.dll Идентификатор дескриптора: 0xbc Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mf3216.dll Идентификатор дескриптора: 0xbc Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mfmkvsrcsnk.dll Идентификатор дескриптора: 0xbc Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mfmp4srcsnk.dll Идентификатор дескриптора: 0xbc Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mfmpeg2srcsnk.dll Идентификатор дескриптора: 0xbc Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Microsoft.Uev.AppAgent.dll Идентификатор дескриптора: 0xbc Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Microsoft.Uev.Office2010CustomActions.dll Идентификатор дескриптора: 0xc0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Microsoft.Uev.Office2013CustomActions.dll Идентификатор дескриптора: 0xc0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msctf.dll Идентификатор дескриптора: 0xc0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msexcl40.dll Идентификатор дескриптора: 0xc0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\MSFlacDecoder.dll Идентификатор дескриптора: 0xc0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mshtml.dll Идентификатор дескриптора: 0xc0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msi.dll Идентификатор дескриптора: 0xc0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msimg32.dll Идентификатор дескриптора: 0xc0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msimsg.dll Идентификатор дескриптора: 0xc0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msjet40.dll Идентификатор дескриптора: 0xc0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msltus40.dll Идентификатор дескриптора: 0xc0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\msrd3x40.dll Идентификатор дескриптора: 0xc0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mstsc.exe Идентификатор дескриптора: 0xc0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\mstscax.dll Идентификатор дескриптора: 0xc0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\netlogon.dll Идентификатор дескриптора: 0xc0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\ntshrui.dll Идентификатор дескриптора: 0xc0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\OneCoreUAPCommonProxyStub.dll Идентификатор дескриптора: 0xc0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\scecli.dll Идентификатор дескриптора: 0xc0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\SHCore.dll Идентификатор дескриптора: 0xb8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\slc.dll Идентификатор дескриптора: 0xb8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\slcext.dll Идентификатор дескриптора: 0xb8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\sppc.dll Идентификатор дескриптора: 0xb8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\sppcext.dll Идентификатор дескриптора: 0xb8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\srumapi.dll Идентификатор дескриптора: 0xb8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\srumsvc.dll Идентификатор дескриптора: 0xb8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\t2embed.dll Идентификатор дескриптора: 0xb8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\taskschd.dll Идентификатор дескриптора: 0xb8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\tbauth.dll Идентификатор дескриптора: 0xb8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\TokenBroker.dll Идентификатор дескриптора: 0xb8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\TokenBrokerCookies.exe Идентификатор дескриптора: 0xb8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\tsgqec.dll Идентификатор дескриптора: 0xb8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\TSWorkspace.dll Идентификатор дескриптора: 0xb8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\updatepolicy.dll Идентификатор дескриптора: 0xb8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\user32.dll Идентификатор дескриптора: 0xd0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\vbscript.dll Идентификатор дескриптора: 0xd0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\webservices.dll Идентификатор дескриптора: 0xd0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\win32k.sys Идентификатор дескриптора: 0xd0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\win32kfull.sys Идентификатор дескриптора: 0xd0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\win32u.dll Идентификатор дескриптора: 0xd4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.Devices.Custom.dll Идентификатор дескриптора: 0xd0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.Devices.Custom.ps.dll Идентификатор дескриптора: 0xd4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.Devices.Enumeration.dll Идентификатор дескриптора: 0xdc Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.Internal.Management.dll Идентификатор дескриптора: 0xdc Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.Media.Protection.PlayReady.dll Идентификатор дескриптора: 0xdc Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.Mirage.Internal.dll Идентификатор дескриптора: 0xdc Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.Networking.Vpn.dll Идентификатор дескриптора: 0xdc Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.Security.Authentication.Web.Core.dll Идентификатор дескриптора: 0xdc Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.Storage.ApplicationData.dll Идентификатор дескриптора: 0xdc Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.UI.Input.Inking.dll Идентификатор дескриптора: 0xd8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.UI.Xaml.dll Идентификатор дескриптора: 0xd8 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Windows.UI.XamlHost.dll Идентификатор дескриптора: 0xdc Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\WindowsCodecs.dll Идентификатор дескриптора: 0xdc Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\windowsperformancerecordercontrol.dll Идентификатор дескриптора: 0xdc Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\winhttp.dll Идентификатор дескриптора: 0xdc Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wininet.dll Идентификатор дескриптора: 0xdc Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wksprtPS.dll Идентификатор дескриптора: 0xdc Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Wpc.dll Идентификатор дескриптора: 0xdc Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\WpcWebFilter.dll Идентификатор дескриптора: 0xdc Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wpnapps.dll Идентификатор дескриптора: 0xdc Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\wsecedit.dll Идентификатор дескриптора: 0xdc Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\SysWOW64\Speech_OneCore\Common\Windows.Speech.Pal.Desktop.dll Идентификатор дескриптора: 0xe4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WaaS\services\14a3f9e824793931d34f7f786a538bbc9ef1f0d6.xml Идентификатор дескриптора: 0xe4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WaaS\services\2213703c9c64cc61ba900531652e23c84728d2a2.xml Идентификатор дескриптора: 0xe4 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 03:25:41 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WaaS\services\ceb497ee0184aaa4681d2fb2ef242a5b8551eea8.xml Идентификатор дескриптора: 0xe0 Сведения о процессе: Идентификатор процесса: 0x1088 Имя процесса: C:\Windows\System32\poqexec.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 103 | 2020-04-16 03:25:53 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-16 10:45:53 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x60 Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-16 10:45:53 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x60 Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | | Безопасность | Audit Success | 13312 | 2020-04-16 10:45:53 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x184 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13573 | 2020-04-16 10:45:53 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | | Безопасность | Audit Success | 13312 | 2020-04-16 10:45:54 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1b4 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-16 10:45:55 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x20c Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-16 10:45:57 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x224 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x20c Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 12288 | 2020-04-16 10:45:58 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:45:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-16 10:45:58 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x278 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-16 10:45:58 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x280 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x20c Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-16 10:45:58 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x288 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x278 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-16 10:45:58 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2d0 Имя нового процесса: ????????????????-??6??0????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x280 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-16 10:45:58 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2ec Имя нового процесса: ????????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x278 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-16 10:45:58 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x304 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x280 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:45:59 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x280 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:45:59 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:45:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xb3f0 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x280 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:45:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0xb412 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:45:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:45:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:45:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:45:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:45:59 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:45:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x10857 Связанный ИД входа: 0x10887 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:45:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x10887 Связанный ИД входа: 0x10857 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:45:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:45:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:45:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:45:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:45:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:45:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:45:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:45:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x10857 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:45:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x10887 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:45:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:45:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:45:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:45:59 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xb21a
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:46:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:46:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:46:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:46:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:46:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:46:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:46:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:46:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:46:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:46:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:46:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:46:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:46:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:46:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:46:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:46:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12292 | 2020-04-16 10:46:02 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:46:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:46:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:46:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:46:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:46:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:46:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:46:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:46:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:46:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:46:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:46:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:46:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:46:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:46:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:46:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:46:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:46:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:46:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:46:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:46:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:46:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:46:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:46:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:46:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:46:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:46:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 10:46:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xba0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 10:46:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xba0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:46:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:46:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:46:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:46:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 10:46:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xbc4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 10:46:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xbc4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12292 | 2020-04-16 10:46:05 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\bg-BG\bootmgr.exe.mui Идентификатор дескриптора: 0x370 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\bootmgr Идентификатор дескриптора: 0x394 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\bootnxt Идентификатор дескриптора: 0x394 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\bootuwf.dll Идентификатор дескриптора: 0x394 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\bootvhd.dll Идентификатор дескриптора: 0x394 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\cs-CZ\bootmgr.exe.mui Идентификатор дескриптора: 0x39c Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\cs-CZ\memtest.exe.mui Идентификатор дескриптора: 0x3c8 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\da-DK\bootmgr.exe.mui Идентификатор дескриптора: 0x3c8 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\da-DK\memtest.exe.mui Идентификатор дескриптора: 0x3c8 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\de-DE\bootmgr.exe.mui Идентификатор дескриптора: 0x3c8 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\de-DE\memtest.exe.mui Идентификатор дескриптора: 0x3c8 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\el-GR\bootmgr.exe.mui Идентификатор дескриптора: 0x3c8 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\el-GR\memtest.exe.mui Идентификатор дескриптора: 0x3c8 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\en-GB\bootmgr.exe.mui Идентификатор дескриптора: 0x3c8 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\en-US\bootmgr.exe.mui Идентификатор дескриптора: 0x3c8 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\en-US\memtest.exe.mui Идентификатор дескриптора: 0x3c8 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\es-ES\bootmgr.exe.mui Идентификатор дескриптора: 0x3c8 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\es-ES\memtest.exe.mui Идентификатор дескриптора: 0x3c8 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\es-MX\bootmgr.exe.mui Идентификатор дескриптора: 0x3c8 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\et-EE\bootmgr.exe.mui Идентификатор дескриптора: 0x3c8 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\fi-FI\bootmgr.exe.mui Идентификатор дескриптора: 0x39c Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\fi-FI\memtest.exe.mui Идентификатор дескриптора: 0x39c Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\fr-CA\bootmgr.exe.mui Идентификатор дескриптора: 0x39c Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\fr-FR\bootmgr.exe.mui Идентификатор дескриптора: 0x39c Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\fr-FR\memtest.exe.mui Идентификатор дескриптора: 0x374 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\hr-HR\bootmgr.exe.mui Идентификатор дескриптора: 0x374 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\hu-HU\bootmgr.exe.mui Идентификатор дескриптора: 0x374 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\hu-HU\memtest.exe.mui Идентификатор дескриптора: 0x374 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\it-IT\bootmgr.exe.mui Идентификатор дескриптора: 0x374 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\it-IT\memtest.exe.mui Идентификатор дескриптора: 0x374 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\ja-JP\bootmgr.exe.mui Идентификатор дескриптора: 0x374 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\ja-JP\memtest.exe.mui Идентификатор дескриптора: 0x374 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\ko-KR\bootmgr.exe.mui Идентификатор дескриптора: 0x374 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\ko-KR\memtest.exe.mui Идентификатор дескриптора: 0x374 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\lt-LT\bootmgr.exe.mui Идентификатор дескриптора: 0x374 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\lv-LV\bootmgr.exe.mui Идентификатор дескриптора: 0x374 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\memtest.exe Идентификатор дескриптора: 0x394 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\nb-NO\bootmgr.exe.mui Идентификатор дескриптора: 0x374 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\nb-NO\memtest.exe.mui Идентификатор дескриптора: 0x374 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\nl-NL\bootmgr.exe.mui Идентификатор дескриптора: 0x374 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\nl-NL\memtest.exe.mui Идентификатор дескриптора: 0x374 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\pl-PL\bootmgr.exe.mui Идентификатор дескриптора: 0x374 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\pl-PL\memtest.exe.mui Идентификатор дескриптора: 0x374 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\pt-BR\bootmgr.exe.mui Идентификатор дескриптора: 0x374 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\pt-BR\memtest.exe.mui Идентификатор дескриптора: 0x374 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\pt-PT\bootmgr.exe.mui Идентификатор дескриптора: 0x374 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\pt-PT\memtest.exe.mui Идентификатор дескриптора: 0x374 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\qps-ploc\bootmgr.exe.mui Идентификатор дескриптора: 0x374 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\qps-ploc\memtest.exe.mui Идентификатор дескриптора: 0x374 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\qps-plocm\bootmgr.exe.mui Идентификатор дескриптора: 0x374 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\ro-RO\bootmgr.exe.mui Идентификатор дескриптора: 0x3ac Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\ru-RU\bootmgr.exe.mui Идентификатор дескриптора: 0x3ac Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\ru-RU\memtest.exe.mui Идентификатор дескриптора: 0x3ac Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\sk-SK\bootmgr.exe.mui Идентификатор дескриптора: 0x3ac Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\sl-SI\bootmgr.exe.mui Идентификатор дескриптора: 0x3ac Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\sr-Latn-RS\bootmgr.exe.mui Идентификатор дескриптора: 0x3ac Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\sv-SE\bootmgr.exe.mui Идентификатор дескриптора: 0x3ac Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\sv-SE\memtest.exe.mui Идентификатор дескриптора: 0x3ac Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\tr-TR\bootmgr.exe.mui Идентификатор дескриптора: 0x3ac Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\tr-TR\memtest.exe.mui Идентификатор дескриптора: 0x3ac Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\uk-UA\bootmgr.exe.mui Идентификатор дескриптора: 0x3ac Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\zh-CN\bootmgr.exe.mui Идентификатор дескриптора: 0x3ac Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:12 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\zh-CN\memtest.exe.mui Идентификатор дескриптора: 0x364 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:46:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:46:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:13 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\zh-TW\bootmgr.exe.mui Идентификатор дескриптора: 0x364 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:13 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\Boot\zh-TW\memtest.exe.mui Идентификатор дескриптора: 0x364 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 10:46:13 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: \Device\HarddiskVolume2\bootmgr Идентификатор дескриптора: 0x3f4 Сведения о процессе: Идентификатор процесса: 0x730 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:46:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:46:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:46:22 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x338 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:46:22 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x338 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:47:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:47:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12290 | 2020-04-16 10:48:04 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-16 10:48:04 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4332 Время создания процесса: 2020-04-16T07:48:04.567123900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-16 10:48:04 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4332 Время создания процесса: 2020-04-16T07:48:04.567123900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:48:05 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:48:05 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:48:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:48:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:48:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:48:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:48:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:48:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 10:48:07 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x4d8 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 10:48:07 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x4d8 Имя процесса: C:\Windows\System32\SearchIndexer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:48:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:48:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:48:09 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:48:09 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:48:09 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:48:09 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:48:09 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:48:09 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:48:09 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:48:09 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:48:09 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:48:09 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12290 | 2020-04-16 10:49:14 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x94948 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-16 10:49:14 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x94948 Сведения о процессе: Идентификатор процесса: 3048 Время создания процесса: 2020-04-16T07:49:14.400751800Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\User\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-16 10:49:14 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x94948 Сведения о процессе: Идентификатор процесса: 3048 Время создания процесса: 2020-04-16T07:49:14.400751800Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:49:14 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x7f4 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:49:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x94948 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x7f4 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:49:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:49:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:49:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x94948 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:49:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x94948 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:49:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x94948 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 10:49:14 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x5a4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:49:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x94948 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:49:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x94948 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:49:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x94948 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:49:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x94948 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:49:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x94948 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:49:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x94948 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:49:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x94948 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:49:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:49:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:49:30 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x94948 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:49:30 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x94948 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:49:30 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x94948 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:49:30 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x94948 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:49:30 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x94948 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:49:30 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x94948 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:49:30 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x94948 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:49:31 | | Microsoft-Windows-Security-Auditing | 5382: Учетные денные были прочитаны. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Это событие возникает, когда пользователь читает сохраненные учетные данные хранилища.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:49:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:49:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:49:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:49:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:50:04 | | Microsoft-Windows-Security-Auditing | 5382: Учетные денные были прочитаны. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Это событие возникает, когда пользователь читает сохраненные учетные данные хранилища.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:50:04 | | Microsoft-Windows-Security-Auditing | 5382: Учетные денные были прочитаны. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Это событие возникает, когда пользователь читает сохраненные учетные данные хранилища.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:50:04 | | Microsoft-Windows-Security-Auditing | 5382: Учетные денные были прочитаны. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Это событие возникает, когда пользователь читает сохраненные учетные данные хранилища.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:50:04 | | Microsoft-Windows-Security-Auditing | 5382: Учетные денные были прочитаны. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Это событие возникает, когда пользователь читает сохраненные учетные данные хранилища.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:50:04 | | Microsoft-Windows-Security-Auditing | 5382: Учетные денные были прочитаны. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Это событие возникает, когда пользователь читает сохраненные учетные данные хранилища.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:50:04 | | Microsoft-Windows-Security-Auditing | 5382: Учетные денные были прочитаны. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Это событие возникает, когда пользователь читает сохраненные учетные данные хранилища.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:50:11 | | Microsoft-Windows-Security-Auditing | 5382: Учетные денные были прочитаны. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Это событие возникает, когда пользователь читает сохраненные учетные данные хранилища.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:50:29 | | Microsoft-Windows-Security-Auditing | 5382: Учетные денные были прочитаны. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Это событие возникает, когда пользователь читает сохраненные учетные данные хранилища.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:50:39 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x94948 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0xab0 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Failure | 12544 | 2020-04-16 10:51:26 | | Microsoft-Windows-Security-Auditing | 4625: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x94948 Тип входа: 2 Учетная запись, которой не удалось выполнить вход: ИД безопасности: S-1-0-0 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения об ошибке: Причина ошибки: %%2313 Состояние: 0xc000006e Подсостояние: 0xc000006e Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x1e64 Имя процесса вызывающей стороны: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:51:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x94948 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1e64 Имя процесса: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:51:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:51:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 10:51:51 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d7c Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 10:51:51 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1d7c Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:52:01 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:52:01 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:52:01 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:52:01 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:52:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:52:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:52:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:52:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:52:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:52:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:52:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:52:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x94948 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:52:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x94948 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:52:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x94948 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:52:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x94948 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:52:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x94948 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:52:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x94948 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:52:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x94948 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:59:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:59:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-16 10:59:30 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x94948 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:59:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:59:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:59:30 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x7f4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:59:30 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x7f4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:59:30 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x7f4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:59:30 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x7f4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:59:30 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x7f4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:59:30 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x7f4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:59:30 | | Microsoft-Windows-Security-Auditing | 5382: Учетные денные были прочитаны. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Это событие возникает, когда пользователь читает сохраненные учетные данные хранилища.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:59:31 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-2 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0xa48 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:59:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-2 Имя учетной записи: UMFD-2 Домен учетной записи: Font Driver Host ИД входа: 0x21e6df Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0xa48 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:59:31 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-2 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0xa48 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:59:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager ИД входа: 0x21f806 Связанный ИД входа: 0x21f81f Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0xa48 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:59:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager ИД входа: 0x21f81f Связанный ИД входа: 0x21f806 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0xa48 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:59:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager Код входа: 0x21f806 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:59:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager Код входа: 0x21f81f Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:59:32 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x132c Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:59:32 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x132c Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 12545 | 2020-04-16 10:59:36 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host Код входа: 0xb412 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12290 | 2020-04-16 10:59:37 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-16 10:59:37 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4028 Время создания процесса: 2020-04-16T07:59:30.926442900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\6f98daeec0940c7c22862bcea48ebde0_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12545 | 2020-04-16 10:59:37 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x10887 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-16 10:59:37 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x10857 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12290 | 2020-04-16 10:59:38 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12290 | 2020-04-16 10:59:38 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x22552a Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-16 10:59:38 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4028 Время создания процесса: 2020-04-16T07:59:30.926442900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\b380ac8358dca4c4a3ce1627f7433880_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-16 10:59:38 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x22552a Сведения о процессе: Идентификатор процесса: 7404 Время создания процесса: 2020-04-16T07:59:38.351126000Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\AdminKSN\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-16 10:59:38 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x22552a Сведения о процессе: Идентификатор процесса: 7404 Время создания процесса: 2020-04-16T07:59:38.351126000Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:59:38 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x7f4 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:59:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22550a Связанный ИД входа: 0x22552a Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x7f4 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 10:59:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Связанный ИД входа: 0x22550a Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x7f4 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 10:59:38 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x22550a Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 10:59:38 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x5a4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:59:39 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0xccc Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 10:59:39 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0xccc Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 11:00:16 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0xccc Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12290 | 2020-04-16 11:00:24 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-16 11:00:24 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4332 Время создания процесса: 2020-04-16T07:48:04.567123900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\c8f5e4ffdba715e58d6473e228296efa_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-16 11:00:24 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4332 Время создания процесса: 2020-04-16T07:48:04.567123900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 11:00:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 11:00:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 11:01:01 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x640 Имя процесса: C:\Users\AdminKSN\AppData\Local\CentBrowser\Application\chrome.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 11:03:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 11:03:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 11:06:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 11:06:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 11:06:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xcc0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 11:06:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xcc0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 11:11:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 11:11:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 11:11:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 11:11:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 11:11:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 11:11:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 11:11:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 11:11:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 11:11:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 11:11:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 11:11:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 11:11:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 11:11:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 11:11:38 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 11:11:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 11:11:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 11:11:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 11:11:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x22552a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 11:11:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 11:11:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x22552a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 11:11:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x22552a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 11:11:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 11:11:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 11:11:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 11:11:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 11:11:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 11:11:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 11:11:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 11:11:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 11:11:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 11:11:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 11:11:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 11:11:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x22550a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 11:11:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x22550a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 11:11:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x22550a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 11:11:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x22550a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 11:11:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x22550a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 11:11:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x22550a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 11:11:41 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1bd4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 11:11:41 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1bd4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12288 | 2020-04-16 11:11:52 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x11b4 Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2020-04-16T08:11:54.754550800Z Новое время: 2020-04-16T08:11:52.543563000Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | | Безопасность | Audit Success | 12288 | 2020-04-16 11:11:52 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x11b4 Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2020-04-16T08:11:52.544273500Z Новое время: 2020-04-16T08:11:52.545120200Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | | Безопасность | Audit Success | 12288 | 2020-04-16 11:11:52 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x11b4 Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2020-04-16T08:11:52.546259100Z Новое время: 2020-04-16T08:11:52.546793800Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 11:14:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 11:14:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 11:19:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 11:19:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 11:28:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 11:28:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 11:44:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 11:44:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 11:44:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 11:44:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 11:45:01 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 11:45:01 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 11:45:36 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0xccc Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:00:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:00:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:01:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:01:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:07:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:07:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:07:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:07:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:07:45 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x450 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:07:45 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x450 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:07:45 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:07:45 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x450 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:07:45 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x450 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:07:45 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x450 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:07:45 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x450 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:07:45 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x450 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:07:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:07:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:07:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:07:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x22552a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:07:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x22552a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:07:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x22552a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:09:08 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x450 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:09:08 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x450 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:09:08 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:09:08 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x450 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:09:08 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x450 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:09:08 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x450 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:09:08 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x450 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:09:08 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x450 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:09:20 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x450 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:09:20 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x450 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:09:20 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:09:20 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x450 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:09:20 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x450 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:09:20 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x450 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:09:20 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x450 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:09:20 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x450 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:19:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:19:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:19:20 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x2a8 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:19:20 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x2a8 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:19:20 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:19:20 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x2a8 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:19:20 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x2a8 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:19:20 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x2a8 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:19:20 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x2a8 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:19:20 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x2a8 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:19:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:19:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:19:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:19:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x22552a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:19:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x22552a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:19:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x22552a Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:19:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:19:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:19:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:19:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:19:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:19:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:19:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:19:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:20:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:20:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:20:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:20:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xa28 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xa28 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xa28 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xa28 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xa28 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xa28 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xa28 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:20:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xa28 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:36 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\_0000000000000000.cdf-ms Идентификатор дескриптора: 0xe50 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:36 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$.cdf-ms Идентификатор дескриптора: 0xe48 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:36 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_21f9a9c4a2f8b514.cdf-ms Идентификатор дескриптора: 0xc44 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_system32_wbem_06656d9fdf2f8577.cdf-ms Идентификатор дескриптора: 0xc4c Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_3296b36dbe4c7fa3.cdf-ms Идентификатор дескриптора: 0xe48 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework64_083d4e330e766c5d.cdf-ms Идентификатор дескриптора: 0x910 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework64_v4.0.30319_46321ba736a30085.cdf-ms Идентификатор дескриптора: 0xc4c Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework64_v4.0.30319_wpf_647a02df72a14032.cdf-ms Идентификатор дескриптора: 0xc3c Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework64_v4.0.30319_wpf_fonts_0428e0346460ac4c.cdf-ms Идентификатор дескриптора: 0x910 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework64_v4.0.30319_nativeimages_ae465c5139d1dacc.cdf-ms Идентификатор дескриптора: 0xc4c Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework_83386eac0379231b.cdf-ms Идентификатор дескриптора: 0x5e4 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework_v4.0.30319_c40c7a995ddd757b.cdf-ms Идентификатор дескриптора: 0x910 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework_v4.0.30319_wpf_bc1339ef8efa3c4c.cdf-ms Идентификатор дескриптора: 0xc4c Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework_v4.0.30319_wpf_fonts_dc62106d96619a3c.cdf-ms Идентификатор дескриптора: 0x910 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework_v4.0.30319_nativeimages_7f83bd6ed8241f3a.cdf-ms Идентификатор дескриптора: 0x89c Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\$$_microsoft.net_framework_v3.0_windows_communication_foundation_e07323de19ff1b52.cdf-ms Идентификатор дескриптора: 0xe48 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_x86__676bbe2c7241b694.cdf-ms Идентификатор дескриптора: 0x5e4 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\WinSxS\FileMaps\program_files_x86_reference_assemblies_microsoft_framework_v3.0_1dfad1527dc1078c.cdf-ms Идентификатор дескриптора: 0x89c Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;0x1f0116;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files (x86)\Reference Assemblies\Microsoft\Framework\v3.0\System.IdentityModel.dll Идентификатор дескриптора: 0xb68 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files (x86)\Reference Assemblies\Microsoft\Framework\v3.0\System.Runtime.Serialization.dll Идентификатор дескриптора: 0xe50 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Program Files (x86)\Reference Assemblies\Microsoft\Framework\v3.0\System.ServiceModel.dll Идентификатор дескриптора: 0xc44 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\ServiceMonikerSupport.dll Идентификатор дескриптора: 0xe48 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\clr.dll Идентификатор дескриптора: 0x89c Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\clrjit.dll Идентификатор дескриптора: 0x5e4 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscordacwks.dll Идентификатор дескриптора: 0xc44 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscordbi.dll Идентификатор дескриптора: 0x89c Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorlib.dll Идентификатор дескриптора: 0x5e4 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\peverify.dll Идентификатор дескриптора: 0xe50 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\ServiceMonikerSupport.dll Идентификатор дескриптора: 0xe4c Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMDiagnostics.dll Идентификатор дескриптора: 0x89c Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\SOS.dll Идентификатор дескриптора: 0x5e4 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\System.Activities.dll Идентификатор дескриптора: 0xe4c Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\System.Activities.Presentation.dll Идентификатор дескриптора: 0x89c Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\System.IdentityModel.dll Идентификатор дескриптора: 0xc4c Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\System.IdentityModel.Services.dll Идентификатор дескриптора: 0xe4c Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\System.Runtime.Serialization.dll Идентификатор дескриптора: 0x89c Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\System.ServiceModel.Channels.dll Идентификатор дескриптора: 0xc4c Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\System.ServiceModel.Discovery.dll Идентификатор дескриптора: 0xe4c Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\System.ServiceModel.dll Идентификатор дескриптора: 0xe40 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\System.ServiceModel.Internals.dll Идентификатор дескриптора: 0xc44 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\System.ServiceModel.WasHosting.dll Идентификатор дескриптора: 0x910 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\System.Windows.Forms.dll Идентификатор дескриптора: 0xe4c Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\NativeImages\mscorlib.ni.dll Идентификатор дескриптора: 0xe50 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\PresentationCore.dll Идентификатор дескриптора: 0xb68 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\PresentationFramework-SystemData.dll Идентификатор дескриптора: 0xc44 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\PresentationFramework.dll Идентификатор дескриптора: 0x910 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\System.Windows.Controls.Ribbon.dll Идентификатор дескриптора: 0xe48 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WindowsBase.dll Идентификатор дескриптора: 0xc44 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WindowsFormsIntegration.dll Идентификатор дескриптора: 0xe40 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll Идентификатор дескриптора: 0xc4c Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clrjit.dll Идентификатор дескриптора: 0xc44 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\compatjit.dll Идентификатор дескриптора: 0x910 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordacwks.dll Идентификатор дескриптора: 0xe40 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll Идентификатор дескриптора: 0xe48 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorlib.dll Идентификатор дескриптора: 0xc44 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\peverify.dll Идентификатор дескриптора: 0xe40 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\ServiceMonikerSupport.dll Идентификатор дескриптора: 0xc4c Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMDiagnostics.dll Идентификатор дескриптора: 0xe4c Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SOS.dll Идентификатор дескриптора: 0xc44 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\System.Activities.dll Идентификатор дескриптора: 0xe48 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\System.Activities.Presentation.dll Идентификатор дескриптора: 0xe40 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\System.IdentityModel.dll Идентификатор дескриптора: 0xc44 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\System.IdentityModel.Services.dll Идентификатор дескриптора: 0xe48 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\System.Runtime.Serialization.dll Идентификатор дескриптора: 0xe50 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\System.ServiceModel.Channels.dll Идентификатор дескриптора: 0xe40 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\System.ServiceModel.Discovery.dll Идентификатор дескриптора: 0xc44 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\System.ServiceModel.dll Идентификатор дескриптора: 0xe48 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\System.ServiceModel.Internals.dll Идентификатор дескриптора: 0xe40 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\System.ServiceModel.WasHosting.dll Идентификатор дескриптора: 0xc44 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\System.Windows.Forms.dll Идентификатор дескриптора: 0xe40 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\NativeImages\mscorlib.ni.dll Идентификатор дескриптора: 0xc44 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\PresentationCore.dll Идентификатор дескриптора: 0xe50 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\PresentationFramework-SystemData.dll Идентификатор дескриптора: 0xe40 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\PresentationFramework.dll Идентификатор дескриптора: 0xc44 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\System.Windows.Controls.Ribbon.dll Идентификатор дескриптора: 0xe50 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\WindowsBase.dll Идентификатор дескриптора: 0x910 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:20:37 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\WPF\WindowsFormsIntegration.dll Идентификатор дескриптора: 0xb68 Сведения о процессе: Идентификатор процесса: 0x1d18 Имя процесса: C:\Windows\WinSxS\amd64_microsoft-windows-servicingstack_31bf3856ad364e35_10.0.18362.772_none_5f13f94c58ff41d3\TiWorker.exe Параметры аудита: Исходный дескриптор безопасности: S:AINO_ACCESS_CONTROL Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:23:25 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x22552a Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0xccc Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-16 12:28:12 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x22552a Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:28:12 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x7f4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:28:12 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x7f4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:28:12 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x7f4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:28:12 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x7f4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:28:12 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x7f4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:28:12 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x7f4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 103 | 2020-04-16 12:28:13 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-16 12:28:34 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x60 Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-16 12:28:34 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x60 Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | | Безопасность | Audit Success | 13312 | 2020-04-16 12:28:34 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x184 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13573 | 2020-04-16 12:28:34 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | | Безопасность | Audit Success | 13312 | 2020-04-16 12:28:35 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1b4 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-16 12:28:37 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x210 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-16 12:28:37 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x21c Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x210 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 12288 | 2020-04-16 12:28:38 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:38 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x284 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xad7b Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x284 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:38 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2f4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0xadaa Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2f4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:38 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:38 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13312 | 2020-04-16 12:28:38 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x27c Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-16 12:28:38 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x284 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x210 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-16 12:28:38 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x290 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x27c Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-16 12:28:38 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2cc Имя нового процесса: ????????????????-??6??4????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x284 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-16 12:28:38 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2f4 Имя нового процесса: ????????????????-??6??c????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x27c Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-16 12:28:38 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x310 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x284 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:28:38 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xabae
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:39 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2f4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x10ba3 Связанный ИД входа: 0x10bce Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2f4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x10bce Связанный ИД входа: 0x10ba3 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2f4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x10ba3 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x10bce Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12292 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x418 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:28:41 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x418 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:28:42 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc1c Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:28:42 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc1c Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:28:42 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc24 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:28:42 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc24 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12292 | 2020-04-16 12:28:43 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12290 | 2020-04-16 12:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12290 | 2020-04-16 12:28:48 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-16 12:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 2748 Время создания процесса: 2020-04-16T09:28:41.341885000Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\6f98daeec0940c7c22862bcea48ebde0_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-16 12:28:48 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 2748 Время создания процесса: 2020-04-16T09:28:41.341885000Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\b380ac8358dca4c4a3ce1627f7433880_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:48 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x5ec Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x424fa Связанный ИД входа: 0x42533 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5ec Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Связанный ИД входа: 0x424fa Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5ec Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:48 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x424fa Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12290 | 2020-04-16 12:28:49 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x42533 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12290 | 2020-04-16 12:28:49 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-16 12:28:49 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x42533 Сведения о процессе: Идентификатор процесса: 4444 Время создания процесса: 2020-04-16T09:28:49.195321200Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\AdminKSN\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-16 12:28:49 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x42533 Сведения о процессе: Идентификатор процесса: 4444 Время создания процесса: 2020-04-16T09:28:49.195321200Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-16 12:28:49 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4868 Время создания процесса: 2020-04-16T09:28:49.668551200Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-16 12:28:49 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4868 Время создания процесса: 2020-04-16T09:28:49.668551200Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:28:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:28:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:28:49 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x518 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:28:52 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:28:52 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:28:52 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:29:05 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:29:05 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:29:07 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:29:07 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:29:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:29:08 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12290 | 2020-04-16 12:29:36 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-16 12:29:36 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4868 Время создания процесса: 2020-04-16T09:28:49.668551200Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\c8f5e4ffdba715e58d6473e228296efa_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-16 12:29:36 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4868 Время создания процесса: 2020-04-16T09:28:49.668551200Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:29:37 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:30:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:30:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:30:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:30:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:30:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:30:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:31:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:31:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:31:57 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x13a0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:31:57 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x13a0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:32:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x42533 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:32:02 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:32:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:32:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:32:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:32:08 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:32:08 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:32:08 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:08 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:08 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:08 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:08 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:08 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:08 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:08 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:08 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:09 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:09 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:09 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:09 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:09 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:09 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:09 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:09 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:09 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:09 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:09 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:09 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:09 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:09 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:12 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:12 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:18 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:18 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:18 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:18 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:18 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:18 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:18 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:18 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x52c Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:18 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:18 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:18 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:32:18 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:32:20 | | Microsoft-Windows-Security-Auditing | 4904: Произведена попытка регистрации источника событий безопасности. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x104e16
|
| | | Безопасность | Audit Success | 13568 | 2020-04-16 12:32:20 | | Microsoft-Windows-Security-Auditing | 4905: Произведена попытка отмены регистрации источника событий безопасности. Subject Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x1094 Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x104e16
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:32:32 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:33:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:33:43 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:33:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:33:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:34:06 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:34:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:34:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:34:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd08 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-16 12:34:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd08 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:34:39 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:34:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:34:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:34:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:34:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:35:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:35:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:35:37 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:36:51 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:37:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:37:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:38:07 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x14c0 Имя процесса: C:\Users\AdminKSN\AppData\Local\CentBrowser\Application\chrome.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:39:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:39:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:40:46 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:40:46 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:43:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:43:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:44:01 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:44:01 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:44:04 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:44:04 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:44:07 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:44:07 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:44:20 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:44:20 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:44:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:44:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 12:44:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:48:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:48:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:48:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:48:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:54:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:54:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:54:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:54:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 12:55:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 12:55:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:12:15 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:12:15 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: User Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:12:15 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:12:15 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:12:15 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:12:18 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:12:18 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: User Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:12:18 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:12:18 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:12:18 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:12:21 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 13:16:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 13:16:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 13:21:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 13:21:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 13:28:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 13:28:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:28:11 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:28:15 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:28:17 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:28:18 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:28:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:28:25 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:28:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:28:29 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:28:29 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:28:32 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:28:32 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:28:36 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:28:36 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:28:38 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:28:38 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:28:46 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 13:28:46 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 14:06:54 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1558 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 14:06:54 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1558 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 14:07:01 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x5ec Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 14:07:01 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x75d11a Связанный ИД входа: 0x75d13e Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5ec Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 14:07:01 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x75d13e Связанный ИД входа: 0x75d11a Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5ec Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-16 14:07:01 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x75d13e Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-16 14:07:01 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x75d11a Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 14:07:01 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x75d11a Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 14:07:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42533 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1360 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 14:07:46 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-2 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x64c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 14:07:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-2 Имя учетной записи: UMFD-2 Домен учетной записи: Font Driver Host ИД входа: 0x77be10 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x64c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 14:07:47 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-2 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x64c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 14:07:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager ИД входа: 0x77caa4 Связанный ИД входа: 0x77cabc Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x64c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 14:07:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager ИД входа: 0x77cabc Связанный ИД входа: 0x77caa4 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x64c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 14:07:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager Код входа: 0x77caa4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 14:07:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager Код входа: 0x77cabc Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-16 14:07:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-16 14:07:48 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x42533 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-16 14:07:48 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 14:07:49 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5ec Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-16 14:07:49 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5ec Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13312 | 2020-04-17 00:24:58 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x60 Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-17 00:24:58 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x60 Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | | Безопасность | Audit Success | 13312 | 2020-04-17 00:24:58 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x188 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13573 | 2020-04-17 00:24:58 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | | Безопасность | Audit Success | 13312 | 2020-04-17 00:25:00 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1b8 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x188 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-17 00:25:01 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x210 Имя нового процесса: ??????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x188 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-17 00:25:01 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x218 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x210 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 12288 | 2020-04-17 00:25:02 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:02 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x280 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:02 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2f4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xadbc Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x280 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0xadc8 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2f4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13312 | 2020-04-17 00:25:02 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x274 Имя нового процесса: ??????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x188 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-17 00:25:02 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x280 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x210 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-17 00:25:02 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x288 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x274 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-17 00:25:02 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2c8 Имя нового процесса: ????????????????-??6??0????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x280 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-17 00:25:02 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2f4 Имя нового процесса: ????????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x274 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-17 00:25:02 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x30c Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x280 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13568 | 2020-04-17 00:25:02 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xabf8
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:03 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2f4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x10026 Связанный ИД входа: 0x1004a Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2f4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x1004a Связанный ИД входа: 0x10026 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2f4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x10026 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x1004a Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 101 | 2020-04-17 00:25:04 | | Microsoft-Windows-Eventlog | 1101: События аудита были отклонены транспортом. 0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:05 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:05 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12292 | 2020-04-17 00:25:06 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-17 00:25:06 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xb38 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-17 00:25:06 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xb38 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:07 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:07 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-17 00:25:07 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xb68 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-17 00:25:07 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xb68 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:08 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:08 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:08 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 00:25:08 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x414 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 00:25:08 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x414 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 12292 | 2020-04-17 00:25:09 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | | Безопасность | Audit Success | 12290 | 2020-04-17 00:25:18 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12290 | 2020-04-17 00:25:18 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-17 00:25:18 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 2824 Время создания процесса: 2020-04-16T21:25:09.387150800Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\6f98daeec0940c7c22862bcea48ebde0_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-17 00:25:18 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 2824 Время создания процесса: 2020-04-16T21:25:09.387150800Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\b380ac8358dca4c4a3ce1627f7433880_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:18 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x428e6 Связанный ИД входа: 0x4291f Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4291f Связанный ИД входа: 0x428e6 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x428e6 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12290 | 2020-04-17 00:25:19 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x4291f Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12290 | 2020-04-17 00:25:19 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-17 00:25:19 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x4291f Сведения о процессе: Идентификатор процесса: 4492 Время создания процесса: 2020-04-16T21:25:19.167029900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\AdminKSN\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-17 00:25:19 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x4291f Сведения о процессе: Идентификатор процесса: 4492 Время создания процесса: 2020-04-16T21:25:19.167029900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-17 00:25:19 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4916 Время создания процесса: 2020-04-16T21:25:19.636977900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-17 00:25:19 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4916 Время создания процесса: 2020-04-16T21:25:19.636977900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-17 00:25:19 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x4dc Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 00:25:22 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4291f Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x139c Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:25:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:25:38 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 00:25:38 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4291f Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x139c Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12290 | 2020-04-17 00:26:06 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-17 00:26:06 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4916 Время создания процесса: 2020-04-16T21:25:19.636977900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\c8f5e4ffdba715e58d6473e228296efa_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-17 00:26:06 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4916 Время создания процесса: 2020-04-16T21:25:19.636977900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:26:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:26:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:27:07 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:27:07 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:27:07 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:27:07 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:27:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:27:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:27:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:27:08 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:27:08 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:27:08 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:27:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:27:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-17 00:27:12 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1a6c Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-17 00:27:12 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1a6c Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:28:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:28:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 00:28:53 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4291f Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1d78 Имя процесса: C:\Users\AdminKSN\AppData\Local\CentBrowser\Application\chrome.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:29:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:29:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:29:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:29:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:29:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:29:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:34:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:34:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-17 00:34:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc28 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-17 00:34:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc28 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 00:40:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 00:40:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 01:41:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 01:41:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 01:50:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 01:50:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 02:25:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 02:25:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 02:25:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 02:25:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 02:30:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 02:30:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 02:30:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 02:30:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 02:30:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 02:30:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 02:30:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 02:30:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 02:30:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 02:30:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 02:30:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 02:30:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 02:30:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 02:30:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 02:30:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 02:30:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 02:30:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 02:30:11 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 02:30:11 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 02:30:11 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 02:30:11 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 02:43:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 02:43:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 02:43:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 02:43:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 02:43:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 02:43:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 02:43:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 02:43:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 02:43:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 02:43:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-17 02:43:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f34 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-17 02:43:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f34 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-17 02:43:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f34 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-17 02:43:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f34 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-17 02:43:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f34 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-17 02:43:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f34 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-17 02:43:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f34 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-17 02:43:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f34 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-17 02:43:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b14 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-17 02:43:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b14 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13568 | 2020-04-17 02:44:01 | | Microsoft-Windows-Security-Auditing | 4907: Изменились параметры аудита для объекта. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x428e6 Объект: Сервер объекта: Security Тип объекта: File Имя объекта: C:\Users\AdminKSN\AppData\Local\Temp\winre\ExtractedFromWim Идентификатор дескриптора: 0x274 Сведения о процессе: Идентификатор процесса: 0x1858 Имя процесса: C:\Windows\System32\taskhostw.exe Параметры аудита: Исходный дескриптор безопасности: ? Новый дескриптор безопасности: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 02:45:01 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1910 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 02:45:01 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1910 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 08:51:05 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 08:51:05 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:09 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:09 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:09 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:09 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:09 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:09 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:09 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 08:51:12 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 08:51:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3ec193 Связанный ИД входа: 0x3ec1b4 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 08:51:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3ec1b4 Связанный ИД входа: 0x3ec193 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-17 08:51:12 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x3ec1b4 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-17 08:51:12 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x3ec193 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 08:51:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x3ec193 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:51:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:52:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:52:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:52:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:52:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:52:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:52:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:52:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:53:55 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:53:55 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:53:55 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:53:55 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:53:55 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:53:55 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:53:55 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 08:54:05 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 08:54:05 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 08:54:05 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 08:54:05 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 08:54:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 08:54:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 08:57:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 08:57:51 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:57:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:57:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:57:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:57:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:57:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:57:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:57:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:57:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:57:51 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:57:52 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:57:52 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:57:52 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 08:57:52 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 09:04:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 09:04:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 09:10:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 09:10:54 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 09:10:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 09:10:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 09:10:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 09:10:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 09:10:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 09:10:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 09:10:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4291f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 09:10:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 09:10:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 09:10:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 09:10:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 09:10:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 09:10:55 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 09:10:55 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 09:10:55 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 09:10:55 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 09:25:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 09:25:50 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 10:10:11 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4291f Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 10:10:11 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4291f Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: User Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 10:10:11 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4291f Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 10:10:11 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4291f Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 10:10:11 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4291f Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 10:11:16 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4291f Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x139c Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 10:11:16 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4291f Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x139c Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 10:11:27 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4291f Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x139c Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 10:11:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 10:11:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 10:12:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 10:12:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 10:12:14 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-2 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0xe30 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 10:12:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-2 Имя учетной записи: UMFD-2 Домен учетной записи: Font Driver Host ИД входа: 0x688fc0 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0xe30 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 10:12:14 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-2 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0xe30 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 10:12:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager ИД входа: 0x689e73 Связанный ИД входа: 0x689e94 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0xe30 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 10:12:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager ИД входа: 0x689e94 Связанный ИД входа: 0x689e73 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0xe30 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 10:12:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager Код входа: 0x689e73 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 10:12:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager Код входа: 0x689e94 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | | Безопасность | Audit Success | 12545 | 2020-04-17 10:12:16 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x4291f Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 10:12:16 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 10:12:16 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 10:12:16 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 10:12:16 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 10:12:16 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 10:12:16 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12545 | 2020-04-17 10:12:18 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host Код входа: 0xadc8 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-17 10:12:19 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x1004a Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-17 10:12:19 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x10026 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 23:19:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 23:19:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:19:20 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x958 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:19:20 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x958 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 23:19:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 23:19:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 23:19:26 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 23:19:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x6a891f Связанный ИД входа: 0x6a893f Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 23:19:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x6a893f Связанный ИД входа: 0x6a891f Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 23:19:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x6a891f Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-17 23:19:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x4dc Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12290 | 2020-04-17 23:19:27 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x6a893f Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-17 23:19:27 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x6a893f Сведения о процессе: Идентификатор процесса: 5752 Время создания процесса: 2020-04-17T20:19:26.709940600Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\AdminKSN\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-17 23:19:27 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x6a893f Сведения о процессе: Идентификатор процесса: 5752 Время создания процесса: 2020-04-17T20:19:26.709940600Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:19:29 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x6a893f Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x694 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 23:19:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 23:19:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:19:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:19:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:19:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:19:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:19:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:19:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:19:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:19:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:19:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:19:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:19:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:19:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:19:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 23:19:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 23:19:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-17 23:19:46 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x738 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-17 23:19:46 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x738 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:20:51 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x6a893f Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1ccc Имя процесса: C:\Users\AdminKSN\AppData\Local\CentBrowser\Application\chrome.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 23:22:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 23:22:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 23:22:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 23:22:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 23:22:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 23:22:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 23:22:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 23:22:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:40 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:40 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:40 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-17 23:22:40 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-17 23:34:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-17 23:34:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 00:21:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 00:21:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 00:36:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 00:36:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 00:36:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 00:36:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 00:36:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 00:36:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 00:36:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 00:36:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 00:36:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 00:36:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 00:36:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 00:36:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 00:36:05 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 00:36:05 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 00:36:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 00:36:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 00:36:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 00:36:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 00:36:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 00:36:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 00:36:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 00:36:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 00:36:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 00:36:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 00:36:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 00:36:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 00:36:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 00:36:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 00:36:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 00:36:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 00:36:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 00:36:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 00:36:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a891f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 00:36:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a891f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 00:36:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a891f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 00:36:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a891f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 00:36:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a891f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 00:36:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a891f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 00:36:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 00:36:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12288 | 2020-04-18 00:36:20 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x18c8 Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2020-04-17T21:36:20.381952300Z Новое время: 2020-04-17T21:36:20.382897700Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 00:37:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 00:37:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-18 00:37:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14a8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-18 00:37:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14a8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 00:37:48 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x470 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 00:37:48 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x470 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 03:37:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 03:37:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 08:29:25 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 08:29:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x9cba21 Связанный ИД входа: 0x9cba41 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 08:29:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x9cba41 Связанный ИД входа: 0x9cba21 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-18 08:29:25 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x9cba41 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-18 08:29:25 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x9cba21 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 08:29:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x9cba21 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 08:32:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 08:32:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 08:33:07 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x6a893f Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x694 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 08:33:35 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x6a893f Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x694 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 08:34:17 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x6a893f Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x694 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 09:04:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 09:04:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 09:42:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 09:42:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 09:46:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 09:46:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 10:03:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 10:03:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 10:03:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 10:03:54 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:03:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:03:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:03:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:03:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:03:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:03:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:03:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:03:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:03:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:03:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:03:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:03:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:03:54 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 10:12:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 10:12:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 10:29:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 10:29:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 10:29:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 10:29:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-18 10:29:14 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xff4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-18 10:29:14 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xff4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 10:29:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 10:29:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 10:31:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 10:31:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:31:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:31:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:31:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:31:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:31:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:31:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:31:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:31:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:31:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:31:17 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:31:17 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:31:17 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:31:17 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 10:31:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 10:31:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 10:41:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 10:41:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:41:59 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1e90 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:41:59 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1e90 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 10:54:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 10:54:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-18 10:54:33 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x170c Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-18 10:54:33 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x170c Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 10:54:39 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 10:54:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0xe9aaf4 Связанный ИД входа: 0xe9ab18 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 10:54:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0xe9ab18 Связанный ИД входа: 0xe9aaf4 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-18 10:54:39 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0xe9ab18 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-18 10:54:39 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0xe9aaf4 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 10:54:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0xe9aaf4 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:44 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:54:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 10:59:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 10:59:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:59:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:59:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:59:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:59:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:59:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:59:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:59:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:59:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:59:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:59:11 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:59:11 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:59:11 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 10:59:11 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 11:00:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 11:00:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 11:04:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 11:04:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:04:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:04:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:04:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:04:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:04:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:04:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:04:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:04:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:04:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:04:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:04:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:04:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:04:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:04:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:04:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:04:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 11:31:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 11:31:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 11:39:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 11:39:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:39:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:39:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:39:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:39:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:39:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:39:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:39:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:39:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:39:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x6a893f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:39:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:39:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:39:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 11:39:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 13:15:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 13:15:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 13:15:59 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x6a893f Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x694 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 13:16:03 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-3 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x1b28 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 13:16:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-3 Имя учетной записи: UMFD-3 Домен учетной записи: Font Driver Host ИД входа: 0x1172e56 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x1b28 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 13:16:03 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-3 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x1b28 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 13:16:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-3 Имя учетной записи: DWM-3 Домен учетной записи: Window Manager ИД входа: 0x1173ab2 Связанный ИД входа: 0x1173ad9 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x1b28 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-18 13:16:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-3 Имя учетной записи: DWM-3 Домен учетной записи: Window Manager ИД входа: 0x1173ad9 Связанный ИД входа: 0x1173ab2 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x1b28 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 13:16:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-3 Имя учетной записи: DWM-3 Домен учетной записи: Window Manager Код входа: 0x1173ab2 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-18 13:16:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-3 Имя учетной записи: DWM-3 Домен учетной записи: Window Manager Код входа: 0x1173ad9 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | | Безопасность | Audit Success | 12545 | 2020-04-18 13:16:04 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x6a893f Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 13:16:04 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 13:16:04 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 13:16:04 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 13:16:04 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 13:16:04 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-18 13:16:04 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12545 | 2020-04-18 13:16:05 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-96-0-2 Имя учетной записи: UMFD-2 Домен учетной записи: Font Driver Host Код входа: 0x688fc0 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-18 13:16:06 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager Код входа: 0x689e94 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-18 13:16:06 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-90-0-2 Имя учетной записи: DWM-2 Домен учетной записи: Window Manager Код входа: 0x689e73 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 02:19:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-19 02:19:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 02:19:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-19 02:19:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:19:43 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x9a8 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:19:43 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x9a8 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 02:19:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-19 02:19:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12290 | 2020-04-19 02:19:49 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x1192bcf Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-19 02:19:49 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x1192bcf Сведения о процессе: Идентификатор процесса: 6596 Время создания процесса: 2020-04-18T23:19:49.368174000Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\AdminKSN\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-19 02:19:49 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x1192bcf Сведения о процессе: Идентификатор процесса: 6596 Время создания процесса: 2020-04-18T23:19:49.368174000Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 02:19:49 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 02:19:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1192baf Связанный ИД входа: 0x1192bcf Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 02:19:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1192bcf Связанный ИД входа: 0x1192baf Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 02:19:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-19 02:19:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x1192baf Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-19 02:19:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-19 02:19:49 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x4dc Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:19:52 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1192bcf Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x7b0 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 02:19:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-19 02:19:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:19:55 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:19:55 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:19:55 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:19:55 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:19:55 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:19:55 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:19:55 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:19:55 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:19:55 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:19:56 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:19:56 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:19:56 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:19:56 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 02:20:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-19 02:20:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:20:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:21:01 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1192bcf Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1918 Имя процесса: C:\Users\AdminKSN\AppData\Local\CentBrowser\Application\chrome.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 02:22:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-19 02:22:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:40 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:40 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:40 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 02:22:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-19 02:22:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:41 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:41 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:41 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:41 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 02:22:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-19 02:22:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:22:53 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 02:26:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-19 02:26:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-19 02:26:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-19 02:26:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2e8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 02:34:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-19 02:34:50 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 02:43:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-19 02:43:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 02:44:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-19 02:44:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 02:44:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-19 02:44:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 02:45:20 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1192bcf Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x15a4 Имя процесса: C:\Users\AdminKSN\AppData\Local\CentBrowser\Application\chrome.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 02:50:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-19 02:50:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-19 02:50:44 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xfe8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-19 02:50:44 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xfe8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 02:53:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-19 02:53:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 03:16:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-19 03:16:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 03:16:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 03:16:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 03:16:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 03:16:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 03:16:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 03:16:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 03:16:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 03:16:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 03:16:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1192bcf Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 03:16:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 03:16:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 03:16:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 03:16:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 03:16:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 03:16:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-19 03:16:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-19 03:16:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 03:16:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-19 03:16:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 03:36:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-19 03:36:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 04:10:47 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1192bcf Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x7b0 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 04:10:52 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-4 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x1cf0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 04:10:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-4 Имя учетной записи: UMFD-4 Домен учетной записи: Font Driver Host ИД входа: 0x146fee2 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x1cf0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 04:10:53 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-4 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x1cf0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 04:10:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-4 Имя учетной записи: DWM-4 Домен учетной записи: Window Manager ИД входа: 0x147075c Связанный ИД входа: 0x147077b Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x1cf0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 04:10:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-4 Имя учетной записи: DWM-4 Домен учетной записи: Window Manager ИД входа: 0x147077b Связанный ИД входа: 0x147075c Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x1cf0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-19 04:10:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-4 Имя учетной записи: DWM-4 Домен учетной записи: Window Manager Код входа: 0x147075c Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-19 04:10:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-4 Имя учетной записи: DWM-4 Домен учетной записи: Window Manager Код входа: 0x147077b Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-19 04:10:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-19 04:10:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12545 | 2020-04-19 04:10:57 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x1192bcf Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 04:10:57 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 04:10:57 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 04:10:57 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 04:10:57 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 04:10:57 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-19 04:10:57 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12545 | 2020-04-19 04:10:59 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-96-0-3 Имя учетной записи: UMFD-3 Домен учетной записи: Font Driver Host Код входа: 0x1172e56 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-19 04:11:00 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-90-0-3 Имя учетной записи: DWM-3 Домен учетной записи: Window Manager Код входа: 0x1173ad9 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-19 04:11:00 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-90-0-3 Имя учетной записи: DWM-3 Домен учетной записи: Window Manager Код входа: 0x1173ab2 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 03:45:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 03:45:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:32 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x2058 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:32 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x2058 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 03:45:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 03:45:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:33 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 03:45:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 03:45:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 03:45:40 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 03:45:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1491552 Связанный ИД входа: 0x1491572 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 03:45:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1491572 Связанный ИД входа: 0x1491552 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 03:45:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x1491552 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:40 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:40 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:40 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13826 | 2020-04-20 03:45:40 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x4dc Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12290 | 2020-04-20 03:45:41 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x1491572 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-20 03:45:41 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x1491572 Сведения о процессе: Идентификатор процесса: 2316 Время создания процесса: 2020-04-20T00:45:41.088796500Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\AdminKSN\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-20 03:45:41 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x1491572 Сведения о процессе: Идентификатор процесса: 2316 Время создания процесса: 2020-04-20T00:45:41.088796500Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:44 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1491572 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x27c Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:46 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:56 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:56 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:56 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:57 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:57 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:57 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:45:57 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 03:46:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 03:46:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:26 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:26 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:26 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:46:27 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:47:02 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1491572 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1b1c Имя процесса: C:\Users\AdminKSN\AppData\Local\CentBrowser\Application\chrome.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 03:48:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 03:48:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 03:48:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 03:48:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:30 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:30 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:30 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 03:48:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 03:48:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 03:48:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 03:48:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 03:48:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 03:48:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 03:48:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 03:48:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:58 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1491572 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:58 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1491572 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: User Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:58 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1491572 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:58 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1491572 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:48:58 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1491572 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:49:32 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1491572 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x27c Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:50:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:50:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:50:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:50:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:50:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:50:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:50:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:50:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:50:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:50:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:50:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:50:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:50:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:50:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 03:52:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 03:52:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-20 03:52:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x8e0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-20 03:52:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x8e0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 03:54:01 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 03:54:01 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 03:54:01 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 03:54:01 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:54:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:55:29 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:55:29 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:55:29 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:55:29 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:55:29 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:55:29 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:55:30 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:55:30 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:55:30 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:55:30 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:00 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:00 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:00 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:00 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:00 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:01 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 03:57:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1491572 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 04:00:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 04:00:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 04:13:55 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-5 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x220 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 04:13:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-5 Имя учетной записи: UMFD-5 Домен учетной записи: Font Driver Host ИД входа: 0x16424c4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x220 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 04:13:55 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-5 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x220 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 04:13:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-5 Имя учетной записи: DWM-5 Домен учетной записи: Window Manager ИД входа: 0x16430a7 Связанный ИД входа: 0x16430c2 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x220 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 04:13:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-5 Имя учетной записи: DWM-5 Домен учетной записи: Window Manager ИД входа: 0x16430c2 Связанный ИД входа: 0x16430a7 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x220 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 04:13:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-5 Имя учетной записи: DWM-5 Домен учетной записи: Window Manager Код входа: 0x16430a7 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 04:13:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-5 Имя учетной записи: DWM-5 Домен учетной записи: Window Manager Код входа: 0x16430c2 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 04:13:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-20 04:13:56 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x1491572 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 04:13:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 04:13:56 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 04:13:56 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 04:13:56 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 04:13:56 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 04:13:56 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 04:13:56 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12545 | 2020-04-20 04:13:58 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-96-0-4 Имя учетной записи: UMFD-4 Домен учетной записи: Font Driver Host Код входа: 0x146fee2 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 04:13:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 04:13:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-20 04:13:59 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-90-0-4 Имя учетной записи: DWM-4 Домен учетной записи: Window Manager Код входа: 0x147077b Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-20 04:13:59 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-90-0-4 Имя учетной записи: DWM-4 Домен учетной записи: Window Manager Код входа: 0x147075c Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 04:13:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 04:13:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-20 04:14:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1fa8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-20 04:14:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1fa8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 11:00:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 11:00:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:00:41 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x790 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:00:41 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x790 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 11:00:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 11:00:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12290 | 2020-04-20 11:00:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x1667cac Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-20 11:00:47 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x1667cac Сведения о процессе: Идентификатор процесса: 5232 Время создания процесса: 2020-04-20T08:00:47.428338700Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\AdminKSN\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-20 11:00:47 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x1667cac Сведения о процессе: Идентификатор процесса: 5232 Время создания процесса: 2020-04-20T08:00:47.428338700Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 11:00:47 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 11:00:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1667c8c Связанный ИД входа: 0x1667cac Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 11:00:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1667cac Связанный ИД входа: 0x1667c8c Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 11:00:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x1667c8c Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-20 11:00:47 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x4dc Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:00:50 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1667cac Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1178 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 11:01:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 11:01:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:02:24 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1667cac Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1178 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:02:29 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1667cac Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1178 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:02:37 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1667cac Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1178 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:02:37 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1667cac Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1178 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:02:38 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1667cac Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1178 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 11:03:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 11:03:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:03:27 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1667cac Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1380 Имя процесса: C:\Users\AdminKSN\AppData\Local\CentBrowser\Application\chrome.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 11:03:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 11:03:38 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 11:03:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 11:03:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:03:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:03:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:03:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:03:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:03:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:03:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:03:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1667cac Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:03:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1667cac Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:03:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1667cac Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:03:40 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:03:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:03:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:03:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:03:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:03:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:03:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 11:03:45 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 11:15:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 11:15:48 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 11:27:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 11:27:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 11:27:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 11:27:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 11:27:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 11:27:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 12:29:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 12:29:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 13:00:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 13:00:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 13:00:48 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 13:00:48 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:33:42 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1667cac Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1178 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 13:34:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-20 13:34:09 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x1667cac Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 13:34:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:09 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:09 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:09 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:09 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:09 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:09 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 13:34:11 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-6 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x21e8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 13:34:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-6 Имя учетной записи: UMFD-6 Домен учетной записи: Font Driver Host ИД входа: 0x19da404 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x21e8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 13:34:11 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-6 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x21e8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 13:34:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-6 Имя учетной записи: DWM-6 Домен учетной записи: Window Manager ИД входа: 0x19db6fe Связанный ИД входа: 0x19db71f Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x21e8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 13:34:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-6 Имя учетной записи: DWM-6 Домен учетной записи: Window Manager ИД входа: 0x19db71f Связанный ИД входа: 0x19db6fe Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x21e8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 13:34:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 13:34:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-20 13:34:11 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-96-0-5 Имя учетной записи: UMFD-5 Домен учетной записи: Font Driver Host Код входа: 0x16424c4 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-20 13:34:11 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-90-0-5 Имя учетной записи: DWM-5 Домен учетной записи: Window Manager Код входа: 0x16430c2 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-20 13:34:11 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-90-0-5 Имя учетной записи: DWM-5 Домен учетной записи: Window Manager Код входа: 0x16430a7 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 13:34:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-6 Имя учетной записи: DWM-6 Домен учетной записи: Window Manager Код входа: 0x19db6fe Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 13:34:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-6 Имя учетной записи: DWM-6 Домен учетной записи: Window Manager Код входа: 0x19db71f Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 13:34:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 13:34:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:11 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x404 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:11 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x404 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 12290 | 2020-04-20 13:34:16 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x19e2f27 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-20 13:34:16 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x19e2f27 Сведения о процессе: Идентификатор процесса: 4288 Время создания процесса: 2020-04-20T10:34:16.449858000Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\User\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-20 13:34:16 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x19e2f27 Сведения о процессе: Идентификатор процесса: 4288 Время создания процесса: 2020-04-20T10:34:16.449858000Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 13:34:16 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 13:34:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 13826 | 2020-04-20 13:34:16 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x4dc Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 13:34:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 13:34:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:20 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:21 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:21 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:21 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:21 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 13:34:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 13:34:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 13:34:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 13:34:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:31 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1090 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:31 | | Microsoft-Windows-Security-Auditing | 5382: Учетные денные были прочитаны. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Это событие возникает, когда пользователь читает сохраненные учетные данные хранилища.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:34:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 13:34:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 13:34:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:35:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:36:55 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:36:55 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:36:57 | | Microsoft-Windows-Security-Auditing | 5381: Учетные денные были прочитаны. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Это событие возникает, когда пользователь перечисляет сохраненные учетные данные хранилища.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 13:37:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 13:37:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:37:22 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:37:22 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:37:22 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:37:23 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:37:23 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:37:23 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:37:23 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 13:43:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 13:43:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:46:22 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: AdminKSN Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:46:22 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:46:22 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:46:22 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:46:22 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Failure | 12544 | 2020-04-20 13:48:11 | | Microsoft-Windows-Security-Auditing | 4625: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x19e2f27 Тип входа: 2 Учетная запись, которой не удалось выполнить вход: ИД безопасности: S-1-0-0 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения об ошибке: Причина ошибки: %%2313 Состояние: 0xc000006e Подсостояние: 0xc000006e Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x1664 Имя процесса вызывающей стороны: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:48:11 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1664 Имя процесса: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 13:49:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 13:49:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 13:52:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 13:52:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:52:21 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x22b8 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:52:21 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x22b8 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:52:21 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:52:21 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x22b8 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:52:21 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x22b8 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:52:21 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x22b8 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:52:21 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x22b8 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:52:21 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x22b8 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:52:21 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:52:21 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:52:21 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:52:21 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:52:21 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:52:21 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 13:53:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 13:53:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:54:04 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0xe88 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:54:04 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:54:04 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0xe88 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:54:04 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0xe88 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:54:04 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0xe88 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:54:04 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0xe88 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:54:04 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0xe88 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:09 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: AdminKSN Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:09 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:09 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: AdminKSN Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:09 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:09 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:09 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:15 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1090 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:21 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: AdminKSN Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:21 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:21 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:21 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:21 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:22 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: AdminKSN Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:22 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:22 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:22 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:22 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:26 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: AdminKSN Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:26 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:26 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: AdminKSN Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:26 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:26 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:26 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:33 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: AdminKSN Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:33 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:33 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: AdminKSN Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:33 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:33 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:33 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:37 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1090 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:37 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: AdminKSN Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:37 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:37 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: AdminKSN Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:37 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:37 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:37 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 13:55:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 13:55:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:42 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1d14 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:42 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1d14 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:42 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:42 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1d14 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:42 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1d14 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:42 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1d14 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:42 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1d14 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:42 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1d14 Имя процесса: C:\Windows\ImmersiveControlPanel\SystemSettings.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:42 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:42 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:42 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:42 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:42 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:55:42 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x19e2f27 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:03 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1090 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:03 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1090 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:03 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: AdminKSN Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:03 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: AdminKSN Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:03 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:03 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:03 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:03 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:11 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1090 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:11 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1090 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:12 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: AdminKSN Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:12 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:12 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: AdminKSN Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:12 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:12 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:12 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:31 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: AdminKSN Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:31 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:31 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:31 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:31 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:32 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1090 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:32 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1090 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:32 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: AdminKSN Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:32 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:32 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:32 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:32 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:32 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: AdminKSN Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:32 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:32 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:32 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:32 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:38 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: AdminKSN Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:38 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:38 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: AdminKSN Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:38 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:38 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:38 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:38 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: AdminKSN Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:38 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:38 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:38 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:38 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:39 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: AdminKSN Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:39 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:39 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:39 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:39 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:39 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: AdminKSN Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:39 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:39 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:39 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:39 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:40 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: AdminKSN Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:40 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:40 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:40 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:56:40 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:57:52 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1090 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 13:57:52 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1090 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:00:54 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1090 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:00:54 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x19e2f27 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1090 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 14:02:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-20 14:02:58 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x19e2f27 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 14:02:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:02:58 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:02:58 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:02:58 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:02:58 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:02:58 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:02:58 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 14:03:00 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-7 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0xf08 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 14:03:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-7 Имя учетной записи: UMFD-7 Домен учетной записи: Font Driver Host ИД входа: 0x1e66ba4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0xf08 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 14:03:00 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-7 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0xf08 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 14:03:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-7 Имя учетной записи: DWM-7 Домен учетной записи: Window Manager ИД входа: 0x1e67a33 Связанный ИД входа: 0x1e67a66 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0xf08 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 14:03:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-7 Имя учетной записи: DWM-7 Домен учетной записи: Window Manager ИД входа: 0x1e67a66 Связанный ИД входа: 0x1e67a33 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0xf08 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 14:03:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 14:03:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-20 14:03:00 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-96-0-6 Имя учетной записи: UMFD-6 Домен учетной записи: Font Driver Host Код входа: 0x19da404 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 14:03:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-7 Имя учетной записи: DWM-7 Домен учетной записи: Window Manager Код входа: 0x1e67a33 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 14:03:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-7 Имя учетной записи: DWM-7 Домен учетной записи: Window Manager Код входа: 0x1e67a66 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 14:03:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 14:03:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:03:00 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x19f8 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:03:00 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x19f8 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 12545 | 2020-04-20 14:03:01 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-90-0-6 Имя учетной записи: DWM-6 Домен учетной записи: Window Manager Код входа: 0x19db71f Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-20 14:03:01 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-90-0-6 Имя учетной записи: DWM-6 Домен учетной записи: Window Manager Код входа: 0x19db6fe Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12290 | 2020-04-20 14:03:19 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12290 | 2020-04-20 14:03:19 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12290 | 2020-04-20 14:03:19 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x1e70570 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-20 14:03:19 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 7536 Время создания процесса: 2020-04-20T11:03:00.945171300Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\6f98daeec0940c7c22862bcea48ebde0_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-20 14:03:19 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 7536 Время создания процесса: 2020-04-20T11:03:00.945171300Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\b380ac8358dca4c4a3ce1627f7433880_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-20 14:03:19 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x1e70570 Сведения о процессе: Идентификатор процесса: 2172 Время создания процесса: 2020-04-20T11:03:19.409401400Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\AdminKSN\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-20 14:03:19 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x1e70570 Сведения о процессе: Идентификатор процесса: 2172 Время создания процесса: 2020-04-20T11:03:19.409401400Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 14:03:19 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 14:03:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1e70550 Связанный ИД входа: 0x1e70570 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 14:03:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1e70570 Связанный ИД входа: 0x1e70550 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5d8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 14:03:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x1e70550 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-20 14:03:19 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x4dc Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:03:21 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1e70570 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x9f4 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 14:03:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 14:03:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 14:03:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 14:03:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:03:59 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x1e70570 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x9f4 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:05 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-20 14:04:06 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x1e70570 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 14:08:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 14:08:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 14:08:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 14:08:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 14:08:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 14:08:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 14:08:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 14:08:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12288 | 2020-04-20 14:08:42 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x638 Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2020-04-20T11:08:43.308295600Z Новое время: 2020-04-20T11:08:42.030201500Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | | Безопасность | Audit Success | 12288 | 2020-04-20 14:08:42 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x638 Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2020-04-20T11:08:42.030201500Z Новое время: 2020-04-20T11:08:42.031107900Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | | Безопасность | Audit Success | 12288 | 2020-04-20 14:08:42 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x638 Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2020-04-20T11:08:42.031107900Z Новое время: 2020-04-20T11:08:42.032153300Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 14:16:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 14:16:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 14:16:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 14:16:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-20 14:16:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2034 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-20 14:16:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2034 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-20 14:16:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2034 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-20 14:16:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2034 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-20 14:16:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2034 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-20 14:16:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2034 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-20 14:16:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2034 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-20 14:16:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x2034 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-20 14:18:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-20 14:18:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 10:26:07 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x60 Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 10:26:07 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x60 Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 10:26:07 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x184 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13573 | 2020-04-22 10:26:07 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 10:26:08 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1b0 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 10:26:09 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x208 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 10:26:09 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x214 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x208 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 12288 | 2020-04-22 10:26:10 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 10:26:10 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x270 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 10:26:10 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x278 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x208 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 10:26:10 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x280 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x270 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 10:26:10 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2c0 Имя нового процесса: ????????????????-??6??8????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x278 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 10:26:10 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2e4 Имя нового процесса: ????????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x270 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 10:26:10 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x304 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x278 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:11 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x278 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:11 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2e4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xab1d Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x278 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0xab4e Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:11 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2e4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x10ae0 Связанный ИД входа: 0x10b14 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x10b14 Связанный ИД входа: 0x10ae0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x10ae0 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x10b14 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | | Безопасность | Audit Success | 13568 | 2020-04-22 10:26:11 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xa905
|
| | | Безопасность | Audit Success | 101 | 2020-04-22 10:26:12 | | Microsoft-Windows-Eventlog | 1101: События аудита были отклонены транспортом. 0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:13 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x408 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:13 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x408 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 10:26:14 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 10:26:14 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x710 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 10:26:14 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x710 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 10:26:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc18 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 10:26:15 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc18 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 10:26:16 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:18 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e4 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 10:26:22 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 10:26:22 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 10:26:22 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 2808 Время создания процесса: 2020-04-22T07:26:13.940411200Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\6f98daeec0940c7c22862bcea48ebde0_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 10:26:22 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 2808 Время создания процесса: 2020-04-22T07:26:13.940411200Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\b380ac8358dca4c4a3ce1627f7433880_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:22 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x5e0 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Связанный ИД входа: 0x444c3 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5e0 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x444c3 Связанный ИД входа: 0x4448c Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5e0 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x4448c Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:22 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:22 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:22 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 10:26:22 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x504 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 10:26:23 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x444c3 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 10:26:23 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 10:26:23 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x444c3 Сведения о процессе: Идентификатор процесса: 4680 Время создания процесса: 2020-04-22T07:26:22.917157100Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\AdminKSN\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 10:26:23 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x444c3 Сведения о процессе: Идентификатор процесса: 4680 Время создания процесса: 2020-04-22T07:26:22.917157100Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 10:26:23 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4264 Время создания процесса: 2020-04-22T07:26:23.482983500Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 10:26:23 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4264 Время создания процесса: 2020-04-22T07:26:23.482983500Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:23 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:23 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:23 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:24 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:24 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:24 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:24 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:25 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x444c3 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x105c Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:28 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:28 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:28 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:29 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:29 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:29 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:29 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:26:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:26:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:26:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4264 Время создания процесса: 2020-04-22T07:26:23.482983500Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\c8f5e4ffdba715e58d6473e228296efa_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4264 Время создания процесса: 2020-04-22T07:26:23.482983500Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:27:10 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:28:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:28:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:28:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:28:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:28:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:28:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:28:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:28:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:28:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:28:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 10:28:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x176c Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 10:28:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x176c Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:29:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:29:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:29:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:29:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:29:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:29:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:29:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:29:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:13 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:14 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:15 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:29:16 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:29:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:29:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:29:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:29:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:36:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:36:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 10:37:27 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x444c3 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x18a4 Имя процесса: C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:41:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:41:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:41:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:41:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:52:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 10:52:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:52:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 10:52:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 11:09:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 11:09:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:09:59 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x444c3 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x118c Имя процесса: C:\Users\AdminKSN\AppData\Local\CentBrowser\Application\chrome.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 11:10:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 11:10:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 11:36:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 11:36:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 11:51:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 11:51:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 11:51:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 11:51:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 11:51:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 11:51:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 11:51:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 11:51:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 11:51:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 11:51:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 11:51:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 11:51:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 11:51:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 11:51:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 11:51:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4448c Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12288 | 2020-04-22 11:51:48 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x19fc Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2020-04-22T08:51:49.696783200Z Новое время: 2020-04-22T08:51:48.121739200Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | | Безопасность | Audit Success | 12288 | 2020-04-22 11:51:48 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x19fc Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2020-04-22T08:51:48.122871200Z Новое время: 2020-04-22T08:51:48.123807000Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | | Безопасность | Audit Success | 12288 | 2020-04-22 11:51:48 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x19fc Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2020-04-22T08:51:48.124851300Z Новое время: 2020-04-22T08:51:48.125224900Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 12:17:37 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1a04 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 12:17:37 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1a04 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 12:41:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 12:41:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 12:41:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 12:41:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 12:41:31 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x5e0 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 12:41:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x48d093 Связанный ИД входа: 0x48d0b3 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5e0 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 12:41:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x48d0b3 Связанный ИД входа: 0x48d093 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5e0 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-22 12:41:31 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x48d0b3 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-22 12:41:31 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x48d093 Тип входа: 2 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 12:41:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x48d093 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 12:42:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 12:42:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 12:42:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 12:42:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:02 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:02 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:02 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:02 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:02 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:02 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:02 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:02 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:02 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:02 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:02 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:02 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:02 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:02 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:02 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:02 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:02 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:02 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:02 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:02 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:03 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:06 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:06 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4448c Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1c98 Имя процесса: C:\Windows\System32\dllhost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 12:42:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 12:42:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 12:42:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13568 | 2020-04-22 12:42:13 | | Microsoft-Windows-Security-Auditing | 4904: Произведена попытка регистрации источника событий безопасности. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x4c4883
|
| | | Безопасность | Audit Success | 13568 | 2020-04-22 12:42:13 | | Microsoft-Windows-Security-Auditing | 4905: Произведена попытка отмены регистрации источника событий безопасности. Subject Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x1024 Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x4c4883
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 12:42:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 12:42:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 12:42:30 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 12:42:30 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 12:43:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 12:43:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:27:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:27:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:28:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x444c3 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x105c Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:29:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:29:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:30:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:30:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:02 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:03 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:30:04 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x444c3 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:32:07 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x444c3 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0xdcc Имя процесса: C:\Users\AdminKSN\AppData\Local\CentBrowser\Application\chrome.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:46:07 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:46:07 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:46:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:46:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:48:07 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:48:07 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:48:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:48:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:48:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:48:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12545 | 2020-04-22 13:51:29 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x444c3 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:51:29 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5e0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:51:29 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5e0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:51:29 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5e0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:51:29 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5e0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:51:29 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5e0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:51:29 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5e0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 103 | 2020-04-22 13:51:30 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 13:51:50 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x60 Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 13:51:50 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x60 Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 13:51:50 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x184 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13573 | 2020-04-22 13:51:50 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 13:51:52 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1b4 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 13:51:53 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x20c Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 13:51:53 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x21c Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x20c Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 12288 | 2020-04-22 13:51:54 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:54 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:54 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x280 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0xaba6 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xab9c Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x280 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:54 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:54 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 13:51:54 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x278 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 13:51:54 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x280 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x20c Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 13:51:54 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x288 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x278 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 13:51:54 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2d0 Имя нового процесса: ????????????????-??6??0????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x280 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 13:51:54 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2ec Имя нового процесса: ????????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x278 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 13:51:54 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x304 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x280 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13568 | 2020-04-22 13:51:54 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xa9dc
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:55 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x10b5a Связанный ИД входа: 0x10b87 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x10b87 Связанный ИД входа: 0x10b5a Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x10b5a Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x10b87 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:51:57 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x40c Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:51:57 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x40c Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 13:51:58 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 13:51:58 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc9c Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 13:51:58 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc9c Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:51:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:51:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 13:51:59 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xce8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 13:51:59 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xce8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 13:52:00 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:52:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:52:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 13:52:02 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 13:52:02 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 13:52:02 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 2960 Время создания процесса: 2020-04-22T10:51:58.013128700Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\6f98daeec0940c7c22862bcea48ebde0_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 13:52:02 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 2960 Время создания процесса: 2020-04-22T10:51:58.013128700Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\b380ac8358dca4c4a3ce1627f7433880_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:52:02 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x5a4 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:52:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Связанный ИД входа: 0x3f1cf Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5a4 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:52:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Связанный ИД входа: 0x3f142 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5a4 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:52:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x3f142 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 13:52:02 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x518 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 13:52:03 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x3f1cf Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 13:52:03 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 13:52:03 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x3f1cf Сведения о процессе: Идентификатор процесса: 4552 Время создания процесса: 2020-04-22T10:52:02.849335400Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\AdminKSN\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 13:52:03 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x3f1cf Сведения о процессе: Идентификатор процесса: 4552 Время создания процесса: 2020-04-22T10:52:02.849335400Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 13:52:03 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4992 Время создания процесса: 2020-04-22T10:52:03.639833900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 13:52:03 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4992 Время создания процесса: 2020-04-22T10:52:03.639833900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:52:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:52:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:52:05 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1054 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:52:06 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1054 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:52:16 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1054 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:52:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:52:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:52:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:52:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:52:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:52:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 13:52:49 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 13:52:49 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4992 Время создания процесса: 2020-04-22T10:52:03.639833900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\c8f5e4ffdba715e58d6473e228296efa_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 13:52:49 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4992 Время создания процесса: 2020-04-22T10:52:03.639833900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:53:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:53:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 13:53:38 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x9d8 Имя процесса: C:\Users\AdminKSN\AppData\Local\CentBrowser\Application\chrome.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:53:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:53:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:53:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:53:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:53:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:53:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:54:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:54:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 13:54:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x440 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 13:54:04 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x440 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:55:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:55:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:55:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:55:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 13:57:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 13:57:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:00:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:00:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:07:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:07:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:09:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:09:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:09:38 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:09:38 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:09:38 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:09:38 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:09:38 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:09:38 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:09:38 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:09:38 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:09:38 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:09:38 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:31 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:31 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:37 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13568 | 2020-04-22 14:10:38 | | Microsoft-Windows-Security-Auditing | 4904: Произведена попытка регистрации источника событий безопасности. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x1dc329
|
| | | Безопасность | Audit Success | 13568 | 2020-04-22 14:10:38 | | Microsoft-Windows-Security-Auditing | 4905: Произведена попытка отмены регистрации источника событий безопасности. Subject Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x14cc Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x1dc329
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:38 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:38 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:38 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:38 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:38 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:38 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:38 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:38 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:38 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:38 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:38 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:38 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:38 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:10:38 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1b2c Имя процесса: C:\Windows\System32\SystemPropertiesAdvanced.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:11:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:11:38 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3f1cf Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:16:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1d2c Имя процесса: C:\Windows\System32\mspaint.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:19:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:19:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:20:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:20:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:21:19 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:21:19 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: User Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:21:19 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:21:19 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:21:19 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:22:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:22:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:27:51 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:27:51 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: User Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:27:51 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:27:51 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:27:51 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:41:07 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:41:07 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:47:01 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:47:01 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:50:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:50:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:50:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:50:59 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:52:05 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1054 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:52:06 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1054 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:52:22 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1054 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:52:31 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3f1cf Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:52:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1054 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:52:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:52:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Failure | 12544 | 2020-04-22 14:53:15 | | Microsoft-Windows-Security-Auditing | 4625: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x3f1cf Тип входа: 2 Учетная запись, которой не удалось выполнить вход: ИД безопасности: S-1-0-0 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения об ошибке: Причина ошибки: %%2313 Состояние: 0xc000006d Подсостояние: 0xc000006a Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x21f8 Имя процесса вызывающей стороны: C:\Users\AdminKSN\AppData\Local\Yandex\YandexBrowser\Application\browser.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:53:15 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x21f8 Имя процесса: C:\Users\AdminKSN\AppData\Local\Yandex\YandexBrowser\Application\browser.exe
|
| | | Безопасность | Audit Failure | 12544 | 2020-04-22 14:53:24 | | Microsoft-Windows-Security-Auditing | 4625: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x3f1cf Тип входа: 2 Учетная запись, которой не удалось выполнить вход: ИД безопасности: S-1-0-0 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения об ошибке: Причина ошибки: %%2313 Состояние: 0xc000006d Подсостояние: 0xc000006a Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x22cc Имя процесса вызывающей стороны: C:\Users\AdminKSN\AppData\Local\Programs\Opera\64.0.3417.73\opera.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:53:24 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x22cc Имя процесса: C:\Users\AdminKSN\AppData\Local\Programs\Opera\64.0.3417.73\opera.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:54:50 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1054 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:55:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-568 Имя группы: IIS_IUSRS Домен группы: Builtin Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Program Files (x86)\1587556493_0\360TS_Setup.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:55:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Program Files (x86)\1587556493_0\360TS_Setup.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:55:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-578 Имя группы: Администраторы Hyper-V Домен группы: Builtin Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Program Files (x86)\1587556493_0\360TS_Setup.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:55:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-583 Имя группы: Владельцы устройства Домен группы: Builtin Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Program Files (x86)\1587556493_0\360TS_Setup.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:55:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-546 Имя группы: Гости Домен группы: Builtin Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Program Files (x86)\1587556493_0\360TS_Setup.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:55:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-569 Имя группы: Криптографические операторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Program Files (x86)\1587556493_0\360TS_Setup.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:55:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Program Files (x86)\1587556493_0\360TS_Setup.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:55:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-556 Имя группы: Операторы настройки сети Домен группы: Builtin Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Program Files (x86)\1587556493_0\360TS_Setup.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:55:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-579 Имя группы: Операторы помощи по контролю учетных записей Домен группы: Builtin Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Program Files (x86)\1587556493_0\360TS_Setup.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:55:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-547 Имя группы: Опытные пользователи Домен группы: Builtin Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Program Files (x86)\1587556493_0\360TS_Setup.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:55:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Program Files (x86)\1587556493_0\360TS_Setup.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:55:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-562 Имя группы: Пользователи DCOM Домен группы: Builtin Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Program Files (x86)\1587556493_0\360TS_Setup.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:55:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-559 Имя группы: Пользователи журналов производительности Домен группы: Builtin Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Program Files (x86)\1587556493_0\360TS_Setup.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:55:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-558 Имя группы: Пользователи системного монитора Домен группы: Builtin Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Program Files (x86)\1587556493_0\360TS_Setup.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:55:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-555 Имя группы: Пользователи удаленного рабочего стола Домен группы: Builtin Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Program Files (x86)\1587556493_0\360TS_Setup.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:55:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-580 Имя группы: Пользователи удаленного управления Домен группы: Builtin Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Program Files (x86)\1587556493_0\360TS_Setup.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:55:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-552 Имя группы: Репликатор Домен группы: Builtin Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Program Files (x86)\1587556493_0\360TS_Setup.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:55:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-581 Имя группы: Управляемая системой группа учетных записей Домен группы: Builtin Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Program Files (x86)\1587556493_0\360TS_Setup.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:55:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f142 Группа: ИД безопасности: S-1-5-32-573 Имя группы: Читатели журнала событий Домен группы: Builtin Сведения о процессе: ИД процесса: 0x310 Имя процесса: C:\Program Files (x86)\1587556493_0\360TS_Setup.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:55:36 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1054 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:55:39 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1054 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:55:41 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1054 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:55:48 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1054 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:56:00 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3f1cf Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1054 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 103 | 2020-04-22 14:57:05 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-22 14:57:05 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x3f1cf Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:57:05 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5a4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:57:05 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5a4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:57:05 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5a4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:57:05 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5a4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:57:05 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5a4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:57:05 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5a4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 14:57:22 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x60 Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 14:57:22 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x60 Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 14:57:22 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x184 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13573 | 2020-04-22 14:57:22 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 14:57:23 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1b0 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 14:57:24 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x204 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 14:57:25 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x218 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x204 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 12288 | 2020-04-22 14:57:26 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:26 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2f0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0xa4de Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2f0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:26 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x27c Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xa4d6 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x27c Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 14:57:26 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x274 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 14:57:26 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x27c Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x204 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 14:57:26 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x284 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x274 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 14:57:26 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2d0 Имя нового процесса: ????????????????-??6??c????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x27c Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 14:57:26 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2f0 Имя нового процесса: ????????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x274 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 14:57:26 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x308 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x27c Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13568 | 2020-04-22 14:57:26 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xa304
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:27 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2f0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x103f6 Связанный ИД входа: 0x10423 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2f0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x10423 Связанный ИД входа: 0x103f6 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2f0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x103f6 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x10423 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 14:57:29 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:57:29 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x40c Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:57:29 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x40c Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:57:30 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xcec Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:57:30 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xcec Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:57:30 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd10 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:57:30 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xd10 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 14:57:31 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 14:57:34 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 14:57:34 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 14:57:34 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 2808 Время создания процесса: 2020-04-22T11:57:29.445591000Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\6f98daeec0940c7c22862bcea48ebde0_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 14:57:34 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 2808 Время создания процесса: 2020-04-22T11:57:29.445591000Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\b380ac8358dca4c4a3ce1627f7433880_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:34 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x5f0 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42554 Связанный ИД входа: 0x4258d Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5f0 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4258d Связанный ИД входа: 0x42554 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5f0 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x42554 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:57:35 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x530 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 14:57:36 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x4258d Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 14:57:36 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 14:57:36 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x4258d Сведения о процессе: Идентификатор процесса: 4748 Время создания процесса: 2020-04-22T11:57:35.385537200Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\AdminKSN\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 14:57:36 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x4258d Сведения о процессе: Идентификатор процесса: 4748 Время создания процесса: 2020-04-22T11:57:35.385537200Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 14:57:36 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 3212 Время создания процесса: 2020-04-22T11:57:36.111315500Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 14:57:36 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 3212 Время создания процесса: 2020-04-22T11:57:36.111315500Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:57:39 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4258d Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x144c Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:57:47 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4258d Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x144c Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:57:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:57:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:57:58 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4258d Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:58:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:58:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:58:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:58:08 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:58:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x212c Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 14:58:11 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x212c Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:58:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:58:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 14:58:23 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 14:58:23 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 3212 Время создания процесса: 2020-04-22T11:57:36.111315500Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\c8f5e4ffdba715e58d6473e228296efa_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 14:58:23 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 3212 Время создания процесса: 2020-04-22T11:57:36.111315500Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Failure | 12544 | 2020-04-22 14:58:25 | | Microsoft-Windows-Security-Auditing | 4625: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x42554 Тип входа: 2 Учетная запись, которой не удалось выполнить вход: ИД безопасности: S-1-0-0 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения об ошибке: Причина ошибки: %%2313 Состояние: 0xc000006d Подсостояние: 0xc000006a Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x1bcc Имя процесса вызывающей стороны: C:\Users\AdminKSN\AppData\Roaming\DRPSu\Alice\cloud.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой). В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход. Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного сеансового ключа. Это поле может иметь значение "0", если сеансовый ключ не запрашивался.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:58:25 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42554 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1bcc Имя процесса: C:\Users\AdminKSN\AppData\Roaming\DRPSu\Alice\cloud.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 14:58:38 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4258d Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1ed8 Имя процесса: C:\Users\AdminKSN\AppData\Local\Yandex\YandexBrowser\Application\browser.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:59:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:59:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:59:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 14:59:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:59:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 14:59:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:00:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:00:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:00:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:00:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:01:06 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4258d Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x144c Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:01:53 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4258d Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x37c Имя процесса: C:\Users\AdminKSN\AppData\Local\CentBrowser\Application\chrome.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:09:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4258d Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x144c Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:09:48 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:09:48 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4258d Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:12:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:12:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:15:13 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4258d Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x144c Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:18:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:18:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:23:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:23:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:01 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x42554 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x10fc Имя процесса: C:\Users\AdminKSN\AppData\Local\Yandex\YandexBrowser\Application\20.3.2.242\Installer\setup.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:41:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:41:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:41:09 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4258d Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x144c Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:41:09 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4258d Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x144c Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:41:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:41:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:41:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:41:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:41:15 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4258d Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x144c Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x918 Имя процесса: C:\Windows\System32\msiexec.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:41:29 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe
|
| | | Безопасность | Audit Success | 13568 | 2020-04-22 15:41:32 | | Microsoft-Windows-Security-Auditing | 4904: Произведена попытка регистрации источника событий безопасности. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x5ad543
|
| | | Безопасность | Audit Success | 13568 | 2020-04-22 15:41:32 | | Microsoft-Windows-Security-Auditing | 4905: Произведена попытка отмены регистрации источника событий безопасности. Subject Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x500 Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x5ad543
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:41:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:41:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 103 | 2020-04-22 15:43:00 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-22 15:43:00 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x4258d Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:43:00 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5f0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:43:00 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5f0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:43:00 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5f0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:43:00 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5f0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:43:00 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5f0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:43:00 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5f0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 15:43:19 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x60 Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 15:43:19 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x60 Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 15:43:19 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x184 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13573 | 2020-04-22 15:43:19 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 15:43:20 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1b8 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 15:43:21 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x214 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 15:43:22 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x224 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x214 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 12288 | 2020-04-22 15:43:23 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:23 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x28c Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xaecb Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x28c Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:23 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2fc Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0xaebe Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2fc Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 15:43:23 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x280 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 15:43:23 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x28c Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x214 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 15:43:23 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x298 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x280 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 15:43:23 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2d4 Имя нового процесса: ????????????????-??6??c????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x28c Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 15:43:23 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2fc Имя нового процесса: ????????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x280 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 15:43:23 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x31c Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x28c Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13568 | 2020-04-22 15:43:23 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xace2
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:24 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2fc Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x10cee Связанный ИД входа: 0x10d27 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2fc Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x10d27 Связанный ИД входа: 0x10cee Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2fc Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x10cee Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x10d27 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:43:25 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x41c Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:43:25 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x41c Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 15:43:26 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:43:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc74 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:43:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc74 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:43:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xca8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:43:27 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xca8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 15:43:28 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 15:43:31 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 15:43:31 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 15:43:31 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 2788 Время создания процесса: 2020-04-22T12:43:26.413006200Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\6f98daeec0940c7c22862bcea48ebde0_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 15:43:31 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 2788 Время создания процесса: 2020-04-22T12:43:26.413006200Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\b380ac8358dca4c4a3ce1627f7433880_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:31 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x63c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x40005 Связанный ИД входа: 0x4003e Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x63c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4003e Связанный ИД входа: 0x40005 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x63c Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x40005 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:43:32 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x554 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 15:43:33 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x4003e Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 15:43:33 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 15:43:33 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x4003e Сведения о процессе: Идентификатор процесса: 4464 Время создания процесса: 2020-04-22T12:43:32.758888300Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\AdminKSN\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 15:43:33 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x4003e Сведения о процессе: Идентификатор процесса: 4464 Время создания процесса: 2020-04-22T12:43:32.758888300Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 15:43:33 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4932 Время создания процесса: 2020-04-22T12:43:33.355235500Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 15:43:33 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4932 Время создания процесса: 2020-04-22T12:43:33.355235500Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:43:35 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4003e Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1370 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:48 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:43:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:43:51 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:44:16 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4003e Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1370 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 15:44:20 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 15:44:20 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4932 Время создания процесса: 2020-04-22T12:43:33.355235500Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\c8f5e4ffdba715e58d6473e228296efa_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 15:44:20 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4932 Время создания процесса: 2020-04-22T12:43:33.355235500Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:45:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:45:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:45:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:45:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:45:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:45:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:45:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:45:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:45:32 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x560 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 15:45:32 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x560 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:46:48 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4003e Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1370 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:46:57 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4003e Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:46:57 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4003e Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: User Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:46:57 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4003e Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:46:57 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4003e Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:46:57 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4003e Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:47:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:47:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:47:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:47:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:49:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:49:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:52:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:52:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:52:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:52:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:53:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:53:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 15:53:11 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x40005 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x15f8 Имя процесса: C:\Users\AdminKSN\AppData\Local\CentBrowser\Application\chrome.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 15:59:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 15:59:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:02:01 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:02:01 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:02:12 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4003e Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x8b4 Имя процесса: C:\Windows\System32\mspaint.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:03:02 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4003e Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:03:02 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4003e Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: User Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:03:02 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4003e Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:03:02 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4003e Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:03:02 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4003e Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:05:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:05:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:07:08 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4003e Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1370 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:07:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:07:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:07:48 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4003e Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1370 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:08:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:08:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:09:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:09:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:10:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:10:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:10:27 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4003e Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1370 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:10:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:10:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:10:40 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4003e Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1370 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:11:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:11:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:11:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:11:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:11:55 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4003e Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1370 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:13:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:13:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:13:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:13:19 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4003e Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-22 16:15:48 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x4003e Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:15:48 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x63c Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:15:48 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x63c Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:15:48 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x63c Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:15:48 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x63c Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:15:48 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x63c Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:15:48 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x63c Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 103 | 2020-04-22 16:15:49 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:16:08 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x60 Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:16:08 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x60 Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:16:08 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x188 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13573 | 2020-04-22 16:16:08 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:16:10 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1b8 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x188 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:16:11 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x210 Имя нового процесса: ??????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x188 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:16:11 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x224 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x210 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 12288 | 2020-04-22 16:16:12 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:12 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x284 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:12 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2f8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xa645 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x284 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0xa672 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2f8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:16:12 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x27c Имя нового процесса: ??????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x188 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:16:12 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x284 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x210 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:16:12 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x28c Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x27c Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:16:12 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2d8 Имя нового процесса: ????????????????-??6??4????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x284 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:16:12 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2f8 Имя нового процесса: ????????????????-??6??c????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x27c Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:16:12 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x310 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x284 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13568 | 2020-04-22 16:16:12 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xa47c
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:13 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2f8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x105fd Связанный ИД входа: 0x1062f Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2f8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x1062f Связанный ИД входа: 0x105fd Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2f8 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x105fd Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x1062f Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:16:15 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:16:15 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x418 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:16:15 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x418 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:16:16 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc78 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:16:16 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc78 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:16:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xcc8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:16:17 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xcc8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:16:18 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 16:16:20 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 16:16:20 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:16:20 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 2848 Время создания процесса: 2020-04-22T13:16:15.715147500Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\6f98daeec0940c7c22862bcea48ebde0_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:16:20 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 2848 Время создания процесса: 2020-04-22T13:16:15.715147500Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\b380ac8358dca4c4a3ce1627f7433880_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:20 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x610 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x45c9f Связанный ИД входа: 0x45d2c Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x610 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x45d2c Связанный ИД входа: 0x45c9f Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x610 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x45c9f Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:16:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x534 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 16:16:22 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x45d2c Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 16:16:22 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:16:22 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x45d2c Сведения о процессе: Идентификатор процесса: 4944 Время создания процесса: 2020-04-22T13:16:21.688948300Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\AdminKSN\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:16:22 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x45d2c Сведения о процессе: Идентификатор процесса: 4944 Время создания процесса: 2020-04-22T13:16:21.688948300Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:16:22 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5244 Время создания процесса: 2020-04-22T13:16:22.308093900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:16:22 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5244 Время создания процесса: 2020-04-22T13:16:22.308093900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:16:25 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x45d2c Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1570 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:16:25 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x45d2c Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1570 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:16:36 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x45d2c Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1570 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:38 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:16:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:16:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 16:17:09 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:17:09 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5244 Время создания процесса: 2020-04-22T13:16:22.308093900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\c8f5e4ffdba715e58d6473e228296efa_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:17:09 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5244 Время создания процесса: 2020-04-22T13:16:22.308093900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:18:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:18:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:18:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:18:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:18:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:18:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:18:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:18:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:18:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1884 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:18:21 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1884 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:19:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:19:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:19:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:19:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:23:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:23:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:24:56 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x45d2c Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1570 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:25:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:25:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:25:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:25:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:25:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:25:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:25:58 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x45d2c Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1570 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12545 | 2020-04-22 16:26:02 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x45d2c Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:26:02 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x610 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:26:02 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x610 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:26:02 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x610 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:26:02 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x610 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:26:02 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x610 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:26:02 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x610 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 103 | 2020-04-22 16:26:03 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:26:19 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x60 Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:26:19 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x60 Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:26:19 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x180 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13573 | 2020-04-22 16:26:19 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:26:21 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1ac Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x180 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 12288 | 2020-04-22 16:26:22 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:22 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2d0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:22 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x268 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0x95b5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x268 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0x95b4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:26:22 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x20c Имя нового процесса: ??????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x180 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:26:22 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x218 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x20c Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:26:22 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x25c Имя нового процесса: ??????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x180 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:26:22 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x268 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x20c Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:26:22 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x274 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x25c Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:26:22 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2d0 Имя нового процесса: ????????????????-??6??c????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x25c Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:26:22 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2e0 Имя нового процесса: ????????????????-??6??8????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x268 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:26:22 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x304 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x268 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13568 | 2020-04-22 16:26:22 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0x93cc
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2d0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xf347 Связанный ИД входа: 0xf36c Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0xf36c Связанный ИД входа: 0xf347 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xf347 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0xf36c Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1b4 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1b4 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:26:25 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xca0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:26:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xca0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:26:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xce8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:26:26 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xce8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:26:27 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 16:26:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 16:26:28 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:26:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 2984 Время создания процесса: 2020-04-22T13:26:25.340455100Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\6f98daeec0940c7c22862bcea48ebde0_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:26:28 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 2984 Время создания процесса: 2020-04-22T13:26:25.340455100Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\b380ac8358dca4c4a3ce1627f7433880_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:28 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x6a8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x41e78 Связанный ИД входа: 0x41efc Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x6a8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x41efc Связанный ИД входа: 0x41e78 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x6a8 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x41e78 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 16:26:30 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x41efc Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:26:30 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x41efc Сведения о процессе: Идентификатор процесса: 4816 Время создания процесса: 2020-04-22T13:26:30.327154300Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\AdminKSN\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:26:30 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x41efc Сведения о процессе: Идентификатор процесса: 4816 Время создания процесса: 2020-04-22T13:26:30.327154300Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:26:30 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x58c Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 16:26:31 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:26:31 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5208 Время создания процесса: 2020-04-22T13:26:30.902438000Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:26:31 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5208 Время создания процесса: 2020-04-22T13:26:30.902438000Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:26:32 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x41efc Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1538 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:26:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:26:50 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:27:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:27:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 16:27:17 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:27:17 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5208 Время создания процесса: 2020-04-22T13:26:30.902438000Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\c8f5e4ffdba715e58d6473e228296efa_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:27:17 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5208 Время создания процесса: 2020-04-22T13:26:30.902438000Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:27:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x41efc Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1538 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:28:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:28:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:28:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:28:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:28:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:28:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:28:30 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1590 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:28:30 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1590 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:30:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:30:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:30:44 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x41efc Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1538 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:31:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:31:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:32:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:32:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:32:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:32:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2e0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:32:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:32:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:32:48 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:32:48 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:32:48 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:32:48 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x41e78 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:32:48 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x41e78 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:32:48 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x41e78 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:32:48 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x41e78 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:32:48 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x41e78 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:32:48 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x41e78 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:32:48 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x41e78 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:32:48 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x41e78 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:32:48 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x41e78 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:32:48 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x41e78 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-22 16:34:53 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x41efc Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:34:53 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x6a8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:34:53 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x6a8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:34:53 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x6a8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:34:53 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x6a8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:34:53 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x6a8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:34:53 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x6a8 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 103 | 2020-04-22 16:34:55 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:35:12 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x60 Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:35:12 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x60 Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:35:12 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x180 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13573 | 2020-04-22 16:35:12 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:35:14 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1b4 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x180 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:35:15 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x210 Имя нового процесса: ??????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x180 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:35:15 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x21c Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x210 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 12288 | 2020-04-22 16:35:16 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:16 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2f4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:16 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x280 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0xa535 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2f4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xa52c Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x280 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:35:16 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x278 Имя нового процесса: ??????????????-??6??0????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x180 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:35:16 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x280 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x210 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:35:16 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x28c Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x278 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:35:16 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2cc Имя нового процесса: ????????????????-??6??0????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x280 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:35:16 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2f4 Имя нового процесса: ????????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x278 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:35:16 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x308 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x280 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13568 | 2020-04-22 16:35:16 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xa35e
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2f4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x102d8 Связанный ИД входа: 0x102ff Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2f4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x102ff Связанный ИД входа: 0x102d8 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2f4 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x102d8 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x102ff Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x40c Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:35:19 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x40c Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:35:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc78 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:35:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc78 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:35:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xca0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:35:20 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xca0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:35:21 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 16:35:23 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 16:35:23 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:35:23 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 2448 Время создания процесса: 2020-04-22T13:35:19.462050600Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\6f98daeec0940c7c22862bcea48ebde0_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:35:23 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 2448 Время создания процесса: 2020-04-22T13:35:19.462050600Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\b380ac8358dca4c4a3ce1627f7433880_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:23 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x658 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3e38e Связанный ИД входа: 0x3e3c7 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x658 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3e3c7 Связанный ИД входа: 0x3e38e Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x658 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x3e38e Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:35:24 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x570 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 16:35:25 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x3e3c7 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 16:35:25 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:35:25 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x3e3c7 Сведения о процессе: Идентификатор процесса: 4572 Время создания процесса: 2020-04-22T13:35:24.711667100Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\AdminKSN\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:35:25 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x3e3c7 Сведения о процессе: Идентификатор процесса: 4572 Время создания процесса: 2020-04-22T13:35:24.711667100Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:35:25 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5024 Время создания процесса: 2020-04-22T13:35:25.239109400Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:35:25 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5024 Время создания процесса: 2020-04-22T13:35:25.239109400Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:35:27 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3e3c7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x13f4 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:35:28 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3e3c7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x13f4 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:35:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:35:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 16:36:12 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:36:12 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5024 Время создания процесса: 2020-04-22T13:35:25.239109400Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\c8f5e4ffdba715e58d6473e228296efa_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:36:12 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5024 Время создания процесса: 2020-04-22T13:35:25.239109400Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:36:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:36:59 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3e3c7 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:37:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:37:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:37:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:37:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:37:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:37:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:37:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:37:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:37:24 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1878 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:37:24 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1878 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:38:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:38:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:38:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:38:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:41:35 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3e3c7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1a5c Имя процесса: C:\Windows\System32\mspaint.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:43:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:43:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:43:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:43:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:44:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:44:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:44:06 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3e3c7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5dc Имя процесса: C:\Users\AdminKSN\AppData\Local\CentBrowser\Application\chrome.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:48:01 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:48:01 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:48:05 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3e3c7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x13f4 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:48:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:48:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:49:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:49:51 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:50:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3e3c7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x13f4 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:50:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:50:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:50:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:50:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:50:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:50:48 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:52:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2cc Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:52:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12545 | 2020-04-22 16:52:56 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x3e3c7 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:52:56 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x658 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:52:56 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x658 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:52:56 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x658 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:52:56 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x658 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:52:56 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x658 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:52:56 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x658 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 103 | 2020-04-22 16:52:57 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:53:16 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x60 Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:53:16 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x60 Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:53:16 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x184 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13573 | 2020-04-22 16:53:16 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:53:17 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1b8 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:53:18 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x214 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:53:18 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x220 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x214 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 12288 | 2020-04-22 16:53:19 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:19 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x280 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xa227 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x280 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:19 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0xa232 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:53:19 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x278 Имя нового процесса: ??????????????-??6??4????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x184 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:53:19 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x280 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x214 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:53:19 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x288 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x278 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:53:19 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2d0 Имя нового процесса: ????????????????-??6??0????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x280 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:53:19 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2ec Имя нового процесса: ????????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x278 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 16:53:19 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x304 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x280 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13568 | 2020-04-22 16:53:19 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0x9f45
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:20 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x105bc Связанный ИД входа: 0x105f8 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x105f8 Связанный ИД входа: 0x105bc Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x105bc Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x105f8 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:53:22 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x418 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:53:22 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x418 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:53:23 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:53:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xca4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:53:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xca4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:53:24 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xccc Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:53:24 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xccc Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:53:25 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 16:53:30 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 16:53:30 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:53:30 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 2792 Время создания процесса: 2020-04-22T13:53:22.624609300Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\6f98daeec0940c7c22862bcea48ebde0_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:53:30 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 2792 Время создания процесса: 2020-04-22T13:53:22.624609300Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\b380ac8358dca4c4a3ce1627f7433880_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:30 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x5e4 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4ad92 Связанный ИД входа: 0x4adbe Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5e4 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Связанный ИД входа: 0x4ad92 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5e4 Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x4ad92 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:53:31 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x508 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 16:53:32 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x4adbe Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 16:53:32 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:53:32 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x4adbe Сведения о процессе: Идентификатор процесса: 4780 Время создания процесса: 2020-04-22T13:53:31.607857500Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\AdminKSN\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:53:32 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x4adbe Сведения о процессе: Идентификатор процесса: 4780 Время создания процесса: 2020-04-22T13:53:31.607857500Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:53:32 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5408 Время создания процесса: 2020-04-22T13:53:32.179240200Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:53:32 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5408 Время создания процесса: 2020-04-22T13:53:32.179240200Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:53:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x15a0 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:53:36 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x15a0 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:48 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:50 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:53:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:53:51 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 16:54:19 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:54:19 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5408 Время создания процесса: 2020-04-22T13:53:32.179240200Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\c8f5e4ffdba715e58d6473e228296efa_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 16:54:19 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 5408 Время создания процесса: 2020-04-22T13:53:32.179240200Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:54:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:54:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:55:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:55:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:55:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:55:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 16:55:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 16:55:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:55:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x145c Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 16:55:28 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x145c Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:55:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 16:55:39 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4adbe Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:01:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:01:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:01:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:01:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:01:28 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x15a0 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:05:25 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x15a0 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:05:26 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x15a0 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:05:27 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x15a0 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:05:28 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x15a0 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:05:28 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x15a0 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:05:31 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x15a0 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:05:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x15a0 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:05:35 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x15a0 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:08:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:08:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:09:05 | | Microsoft-Windows-Security-Auditing | 5381: Учетные денные были прочитаны. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4ad92 Это событие возникает, когда пользователь перечисляет сохраненные учетные данные хранилища.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:09:05 | | Microsoft-Windows-Security-Auditing | 5381: Учетные денные были прочитаны. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4ad92 Это событие возникает, когда пользователь перечисляет сохраненные учетные данные хранилища.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:09:09 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4ad92 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:09:09 | | Microsoft-Windows-Security-Auditing | 5381: Учетные денные были прочитаны. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x4ad92 Это событие возникает, когда пользователь перечисляет сохраненные учетные данные хранилища.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:10:51 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x15a0 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:13:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:13:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:14:42 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:14:42 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: User Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:14:42 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:14:42 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:14:42 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:14:43 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: DefaultAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:14:43 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: User Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:14:43 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: WDAGUtilityAccount Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:14:43 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Администратор Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:14:43 | | Microsoft-Windows-Security-Auditing | 4797: Попытка запроса существования пустого пароля для учетной записи. Тема: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Дополнительные сведения: Рабочая станция вызывающего пользователя: DESKTOP-3FK51CA Имя конечной учетной записи: Гость Домен конечной учетной записи: DESKTOP-3FK51CA
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:15:38 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x15a0 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:15:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:15:51 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:16:15 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x15a0 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:16:19 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0xe48 Имя процесса: C:\Users\AdminKSN\AppData\Local\CentBrowser\Application\chrome.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:16:31 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x15a0 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:16:32 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x15a0 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:16:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:16:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:24:30 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x4adbe Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x15a0 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2d0 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 103 | 2020-04-22 17:27:12 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | | Безопасность | Audit Success | 12545 | 2020-04-22 17:27:12 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x4adbe Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:27:12 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5e4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:27:12 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5e4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:27:12 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5e4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:27:12 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5e4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:27:12 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5e4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:27:12 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x5e4 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 17:27:32 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x60 Имя нового процесса: ????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 17:27:32 | | Microsoft-Windows-Security-Auditing | 4696: Процессу назначен основной токен. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7 Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: ? Конечный процесс: Код конечного процесса: 0x60 Имя конечного процесса: Registry Сведения о новом токене: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x3e7
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 17:27:32 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x178 Имя нового процесса: ??????????????-??6?4????0--?0??????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x4 Имя процесса-создателя: ??????? Командная строка процесса: ????0--?0??????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13573 | 2020-04-22 17:27:32 | | Microsoft-Windows-Security-Auditing | 4826: Загружены данные конфигурации загрузки. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Общие параметры: Параметры загрузки: - Дополнительные параметры: %%1843 Политика доступа к конфигурации: %%1846 Ведение журнала событий системы: %%1843 Отладка ядра: %%1843 Тип запуска VSM: %%1848 Параметры подписи: Подпись теста: %%1843 Подписание рейса: %%1843 Отключить проверку целостности: %%1843 Параметры низкоуровневой оболочки: Параметры загрузки низкоуровневой оболочки: - Тип запуска низкоуровневой оболочки: %%1848 Отладка низкоуровневой оболочки: %%1843
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 17:27:33 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x1ac Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x178 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 17:27:34 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x208 Имя нового процесса: ??????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x178 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 17:27:34 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x214 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x208 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 12288 | 2020-04-22 17:27:36 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о входе: Тип входа: 0 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: - Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x4 Имя процесса: ? Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:36 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x280 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:36 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-1 Имя учетной записи: UMFD-1 Домен учетной записи: Font Driver Host ИД входа: 0xb92f Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-96-0-0 Имя учетной записи: UMFD-0 Домен учетной записи: Font Driver Host ИД входа: 0xb91d Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x280 Имя процесса: C:\Windows\System32\wininit.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 17:27:36 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x278 Имя нового процесса: ??????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x178 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 17:27:36 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x280 Имя нового процесса: ???????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x208 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 17:27:36 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x288 Имя нового процесса: ??????????????e?????????????????????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x278 Имя процесса-создателя: ????????????????????4 Командная строка процесса: ????0--?0????????????????????4 В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 17:27:36 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2c8 Имя нового процесса: ????????????????-??6??0????0--?0???????????????e?????? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x280 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 17:27:36 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x2ec Имя нового процесса: ????????????????-??6??8????0--?0????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x278 Имя процесса-создателя: ????????????????????4? Командная строка процесса: ????0--?0????????????????????4? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13312 | 2020-04-22 17:27:36 | | Microsoft-Windows-Security-Auditing | 4688: Создан новый процесс. Субъект-создатель: ИД безопасности: S-1-5-18 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x3e7 Целевой субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - ИД входа: 0x0 Сведения о процессе: ИД нового процесса: 0x304 Имя нового процесса: ??????????????e?????????????????????????????????????4? Тип повышения прав маркера: %%1936 Обязательная метка: S-1-16-16384 ИД процесса-создателя: 0x280 Имя процесса-создателя: ???????????????e?????? Командная строка процесса: ????0--?0???????????????e?????? В поле "Тип повышения прав маркера" указан тип маркера, назначенного новому процессу в соответствии с политикой управления учетными записями. Тип 1 соответствует полному маркеру без удаления привилегий и отключения групп. Полный маркер используется, только если управление учетными записями отключено либо пользователь имеет встроенную учетную запись "Администратор" или учетную запись службы. Тип 2 соответствует расширенному маркеру без удаления привилегий и отключения групп. Расширенный маркер используется, если управление учетными записями включено и пользователь запускает программу в качестве администратора. Кроме того, он применяется, если приложение настроено таким образом, что всегда требует привилегии администратора или максимальные привилегии, а пользователь состоит в группе администраторов. Тип 3 соответствует ограниченному маркеру с удалением привилегий администратора и отключением групп администраторов. Ограниченный маркер используется, когда управление учетными записями включено, приложению не требуются привилегии администратора и пользователь не запускает программу в качестве администратора.
|
| | | Безопасность | Audit Success | 13568 | 2020-04-22 17:27:36 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xb758
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e4 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: DWM-1 Домен учетной записи: Window Manager GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: - Порт: - Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x11909 Связанный ИД входа: 0x1193d Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1842 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager ИД входа: 0x1193d Связанный ИД входа: 0x11909 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2ec Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY ИД входа: 0x3e5 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x11909 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-90-0-1 Имя учетной записи: DWM-1 Домен учетной записи: Window Manager Код входа: 0x1193d Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:38 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:27:38 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x324 Имя процесса: C:\Windows\System32\LogonUI.exe
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:27:40 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xbd0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:27:40 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e4 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xbd0 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:27:40 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc08 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:27:40 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0xc08 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 17:27:41 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 17:27:45 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 17:27:45 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: RSA Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 17:27:45 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 2676 Время создания процесса: 2020-04-22T14:27:39.171009900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {64C6B6D4-D69C-4F89-982B-90EE08F5A410} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\6f98daeec0940c7c22862bcea48ebde0_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 17:27:45 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 2676 Время создания процесса: 2020-04-22T14:27:39.171009900Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: {7D70F2FB-9039-40CD-9232-464339026286} Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\b380ac8358dca4c4a3ce1627f7433880_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:46 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x5cc Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Связанный ИД входа: 0x3ff1f Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5cc Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 2 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1843 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3ff1f Связанный ИД входа: 0x3fee6 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x5cc Имя процесса: C:\Windows\System32\svchost.exe Сведения о сети: Имя рабочей станции: DESKTOP-3FK51CA Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Подробные сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Код входа: 0x3fee6 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:27:46 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x518 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 17:27:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x3ff1f Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 17:27:47 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 17:27:47 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x3ff1f Сведения о процессе: Идентификатор процесса: 4256 Время создания процесса: 2020-04-22T14:27:46.664567400Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\Users\AdminKSN\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 17:27:47 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа в систему: 0x3ff1f Сведения о процессе: Идентификатор процесса: 4256 Время создания процесса: 2020-04-22T14:27:46.664567400Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 17:27:47 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4812 Время создания процесса: 2020-04-22T14:27:47.520730300Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\de7cf8a7901d2ad13e5c67c29e5d1662_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 17:27:47 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4812 Время создания процесса: 2020-04-22T14:27:47.520730300Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: Microsoft Connected Devices Platform device certificate Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:27:51 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3ff1f Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1374 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:27:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:27:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:28:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:28:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:28:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:28:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:28:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:28:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:32 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12290 | 2020-04-22 17:28:34 | | Microsoft-Windows-Security-Auditing | 5061: Операция шифрования. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Операция шифрования: Операция: %%2480 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 17:28:34 | | Microsoft-Windows-Security-Auditing | 5058: Операция с файлом ключей. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4812 Время создания процесса: 2020-04-22T14:27:47.520730300Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: UNKNOWN Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Сведения об операции с файлом ключей: Путь к файлу: C:\WINDOWS\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Crypto\Keys\c8f5e4ffdba715e58d6473e228296efa_b7713a86-e612-4039-b4aa-5d0bdf8fd61a Операция: %%2458 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12292 | 2020-04-22 17:28:34 | | Microsoft-Windows-Security-Auditing | 5059: Операция переноса ключа. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа в систему: 0x3e5 Сведения о процессе: Идентификатор процесса: 4812 Время создания процесса: 2020-04-22T14:27:47.520730300Z Криптографические параметры: Имя поставщика: Microsoft Software Key Storage Provider Имя алгоритма: ECDSA_P256 Имя ключа: b56f3cb455be4e2b Тип ключа: %%2500 Дополнительные сведения: Операция: %%2464 Код возврата: 0x0
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:28:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:28:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:34 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:35 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:28:37 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:29:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:29:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:29:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:29:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:29:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:29:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:29:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:29:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:29:46 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1510 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:29:46 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1510 Имя процесса: C:\Windows\System32\svchost.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:30:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:30:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:30:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:30:38 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:37:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:37:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP Идентификатор входа: 0x3e7 Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8099 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:50 | | Microsoft-Windows-Security-Auditing | 5379: Учетные данные диспетчера учетных данных прочитаны. Субъект: Идентификатор безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Идентификатор входа: 0x3ff1f Операция чтения: %%8100 Это событие возникает, когда пользователь выполняет операцию чтения сохраненных учетных данных в диспетчере учетных данных.
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:37:54 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3ff1f Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1c90 Имя процесса: C:\Users\AdminKSN\AppData\Local\CentBrowser\Application\chrome.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:38:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:38:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-568 Имя группы: IIS_IUSRS Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-578 Имя группы: Администраторы Hyper-V Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-583 Имя группы: Владельцы устройства Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-546 Имя группы: Гости Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-569 Имя группы: Криптографические операторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-556 Имя группы: Операторы настройки сети Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-579 Имя группы: Операторы помощи по контролю учетных записей Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-547 Имя группы: Опытные пользователи Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-562 Имя группы: Пользователи DCOM Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-559 Имя группы: Пользователи журналов производительности Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-558 Имя группы: Пользователи системного монитора Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-555 Имя группы: Пользователи удаленного рабочего стола Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-580 Имя группы: Пользователи удаленного управления Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-552 Имя группы: Репликатор Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-581 Имя группы: Управляемая системой группа учетных записей Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 17:42:23 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-573 Имя группы: Читатели журнала событий Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 17:42:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 17:42:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:47:06 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3ff1f Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1374 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 17:56:19 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3ff1f Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1374 Имя процесса: C:\Windows\explorer.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:33 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-568 Имя группы: IIS_IUSRS Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-578 Имя группы: Администраторы Hyper-V Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-583 Имя группы: Владельцы устройства Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-546 Имя группы: Гости Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-569 Имя группы: Криптографические операторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-556 Имя группы: Операторы настройки сети Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-579 Имя группы: Операторы помощи по контролю учетных записей Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-547 Имя группы: Опытные пользователи Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-562 Имя группы: Пользователи DCOM Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-559 Имя группы: Пользователи журналов производительности Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-558 Имя группы: Пользователи системного монитора Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-555 Имя группы: Пользователи удаленного рабочего стола Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-580 Имя группы: Пользователи удаленного управления Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-552 Имя группы: Репликатор Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-581 Имя группы: Управляемая системой группа учетных записей Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:00:34 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-573 Имя группы: Читатели журнала событий Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 12544 | 2020-04-22 18:00:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход в учетную запись выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: DESKTOP-3FK51CA$ Домен учетной записи: WORKGROUP ИД входа: 0x3e7 Сведения о входе: Тип входа: 5 Ограниченный режим администрирования: - Виртуальная учетная запись: %%1843 Расширенный маркер: %%1842 Уровень олицетворения: %%1833 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY ИД входа: 0x3e7 Связанный ИД входа: 0x0 Сетевое имя учетной записи: - Сетевой домен учетной записи: - GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: ИД процесса: 0x2c8 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Подробные сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | | Безопасность | Audit Success | 12548 | 2020-04-22 18:00:50 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: СИСТЕМА Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-500 Имя учетной записи: Администратор Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-501 Имя учетной записи: Гость Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-503 Имя учетной записи: DefaultAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-504 Имя учетной записи: WDAGUtilityAccount Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13824 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4798: Перечислено участие пользователя в локальных группах. Subject: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Пользователь: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1002 Имя учетной записи: User Домен учетной записи: DESKTOP-3FK51CA Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-568 Имя группы: IIS_IUSRS Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-578 Имя группы: Администраторы Hyper-V Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-544 Имя группы: Администраторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-583 Имя группы: Владельцы устройства Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-546 Имя группы: Гости Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-569 Имя группы: Криптографические операторы Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-551 Имя группы: Операторы архива Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-556 Имя группы: Операторы настройки сети Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-579 Имя группы: Операторы помощи по контролю учетных записей Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-547 Имя группы: Опытные пользователи Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-562 Имя группы: Пользователи DCOM Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-559 Имя группы: Пользователи журналов производительности Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-558 Имя группы: Пользователи системного монитора Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-555 Имя группы: Пользователи удаленного рабочего стола Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-580 Имя группы: Пользователи удаленного управления Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-545 Имя группы: Пользователи Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-552 Имя группы: Репликатор Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-581 Имя группы: Управляемая системой группа учетных записей Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Безопасность | Audit Success | 13826 | 2020-04-22 18:05:10 | | Microsoft-Windows-Security-Auditing | 4799: Перечислено участие в защищенных локальных группах. Субъект: ИД безопасности: S-1-5-21-697313222-241376922-361564774-1001 Имя учетной записи: AdminKSN Домен учетной записи: DESKTOP-3FK51CA ИД входа: 0x3fee6 Группа: ИД безопасности: S-1-5-32-573 Имя группы: Читатели журнала событий Домен группы: Builtin Сведения о процессе: ИД процесса: 0x1f64 Имя процесса: D:\Admin\PortableSoft\PortableApps\AIDA64Portable\App\AIDA64Extreme\aida64.exe
|
| | | Система | Внимание | Нет | 2020-04-16 10:46:08 | СИСТЕМА | Microsoft-Windows-Wininit | 11: Настраиваемые библиотеки динамической компоновки загружаются для каждого приложения. Системный администратор должен просмотреть список библиотек, чтобы проверить, относятся ли они к надежным приложениям. Дополнительные сведения см. по адресу http://support.microsoft.com/kb/197571.
|
| | | Система | Внимание | Нет | 2020-04-16 10:48:06 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscDataProtection и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-16 10:49:45 | User | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\User с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1002) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-16 10:50:46 | User | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\User с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1002) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-16 11:00:24 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-16 12:28:48 | СИСТЕМА | Microsoft-Windows-Wininit | 11: Настраиваемые библиотеки динамической компоновки загружаются для каждого приложения. Системный администратор должен просмотреть список библиотек, чтобы проверить, относятся ли они к надежным приложениям. Дополнительные сведения см. по адресу http://support.microsoft.com/kb/197571.
|
| | | Система | Внимание | Нет | 2020-04-16 12:30:43 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscDataProtection и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-16 12:30:43 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscBrokerManager и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-16 12:30:43 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.SecurityAppBroker и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-16 12:37:30 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-16 12:39:41 | AdminKSN | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.18362.449_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Ошибка | Нет | 2020-04-17 00:25:04 | | EventLog | 6008: Предыдущее завершение работы системы в 13:08:39 на ?16.?04.?2020 было неожиданным.
|
| | | Система | Внимание | Нет | 2020-04-17 00:25:12 | СИСТЕМА | Microsoft-Windows-Wininit | 11: Настраиваемые библиотеки динамической компоновки загружаются для каждого приложения. Системный администратор должен просмотреть список библиотек, чтобы проверить, относятся ли они к надежным приложениям. Дополнительные сведения см. по адресу http://support.microsoft.com/kb/197571.
|
| | | Система | Внимание | Нет | 2020-04-17 00:27:08 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscDataProtection и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-17 00:27:08 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscBrokerManager и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-17 00:27:08 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.SecurityAppBroker и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-17 00:28:15 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-17 00:39:21 | AdminKSN | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.18362.449_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-17 09:06:25 | AdminKSN | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.18362.449_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-17 09:36:22 | AdminKSN | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.18362.449_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-17 23:20:14 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-19 02:20:23 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-19 02:43:50 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-19 02:44:40 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-20 03:46:25 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-20 11:02:50 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-20 12:29:22 | AdminKSN | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.18362.449_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-20 13:39:14 | User | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-3FK51CA\User с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1002) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.18362.449_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-20 13:47:31 | User | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\User с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1002) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-20 13:58:35 | User | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-3FK51CA\User с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1002) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.18362.449_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Ошибка | Нет | 2020-04-22 10:26:12 | | EventLog | 6008: Предыдущее завершение работы системы в 14:25:59 на ?20.?04.?2020 было неожиданным.
|
| | | Система | Внимание | Нет | 2020-04-22 10:26:20 | СИСТЕМА | Microsoft-Windows-Wininit | 11: Настраиваемые библиотеки динамической компоновки загружаются для каждого приложения. Системный администратор должен просмотреть список библиотек, чтобы проверить, относятся ли они к надежным приложениям. Дополнительные сведения см. по адресу http://support.microsoft.com/kb/197571.
|
| | | Система | Внимание | Нет | 2020-04-22 10:27:21 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 10:28:16 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.SecurityAppBroker и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 10:28:16 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscDataProtection и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 10:28:16 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscBrokerManager и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 11:09:24 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 13:29:24 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 13:31:27 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 13:51:54 | | BtFilter | 26:
|
| | | Система | Внимание | Нет | 2020-04-22 13:52:04 | СИСТЕМА | Microsoft-Windows-Wininit | 11: Настраиваемые библиотеки динамической компоновки загружаются для каждого приложения. Системный администратор должен просмотреть список библиотек, чтобы проверить, относятся ли они к надежным приложениям. Дополнительные сведения см. по адресу http://support.microsoft.com/kb/197571.
|
| | | Система | Внимание | Нет | 2020-04-22 13:53:01 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 13:54:00 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.SecurityAppBroker и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 13:54:00 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscDataProtection и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 13:54:00 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscBrokerManager и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 14:11:21 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Ошибка | 1012 | 2020-04-22 14:45:35 | NETWORK SERVICE | Microsoft-Windows-DNS-Client | 1012: При попытке чтения файла локальных узлов произошла ошибка.
|
| | | Система | Внимание | Нет | 2020-04-22 14:52:12 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 14:52:32 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 14:54:07 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 14:54:28 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 14:55:11 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Ошибка | Нет | 2020-04-22 14:57:04 | AdminKSN | DCOM | 10010: Регистрация сервера {9BA05972-F6A8-11CF-A442-00A0C90A8F39} DCOM не выполнена за отведенное время ожидания.
|
| | | Система | Ошибка | Нет | 2020-04-22 14:57:04 | AdminKSN | DCOM | 10010: Регистрация сервера {9BA05972-F6A8-11CF-A442-00A0C90A8F39} DCOM не выполнена за отведенное время ожидания.
|
| | | Система | Ошибка | Нет | 2020-04-22 14:57:04 | AdminKSN | DCOM | 10010: Регистрация сервера {9BA05972-F6A8-11CF-A442-00A0C90A8F39} DCOM не выполнена за отведенное время ожидания.
|
| | | Система | Ошибка | Нет | 2020-04-22 14:57:04 | AdminKSN | DCOM | 10010: Регистрация сервера {9BA05972-F6A8-11CF-A442-00A0C90A8F39} DCOM не выполнена за отведенное время ожидания.
|
| | | Система | Ошибка | Нет | 2020-04-22 14:57:04 | AdminKSN | DCOM | 10010: Регистрация сервера {9BA05972-F6A8-11CF-A442-00A0C90A8F39} DCOM не выполнена за отведенное время ожидания.
|
| | | Система | Внимание | Нет | 2020-04-22 14:57:36 | СИСТЕМА | Microsoft-Windows-Wininit | 11: Настраиваемые библиотеки динамической компоновки загружаются для каждого приложения. Системный администратор должен просмотреть список библиотек, чтобы проверить, относятся ли они к надежным приложениям. Дополнительные сведения см. по адресу http://support.microsoft.com/kb/197571.
|
| | | Система | Внимание | Нет | 2020-04-22 14:57:58 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 14:59:31 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.SecurityAppBroker и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 14:59:31 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscDataProtection и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 14:59:31 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscBrokerManager и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 15:01:16 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 15:09:31 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Ошибка | 1012 | 2020-04-22 15:09:49 | NETWORK SERVICE | Microsoft-Windows-DNS-Client | 1012: При попытке чтения файла локальных узлов произошла ошибка.
|
| | | Система | Ошибка | Нет | 2020-04-22 15:40:48 | | Service Control Manager | 7034: Служба "ASLDR Service" неожиданно прервана. Это произошло (раз): 1.
|
| | | Система | Внимание | Нет | 2020-04-22 15:41:02 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Ошибка | Нет | 2020-04-22 15:43:00 | AdminKSN | DCOM | 10010: Регистрация сервера {9BA05972-F6A8-11CF-A442-00A0C90A8F39} DCOM не выполнена за отведенное время ожидания.
|
| | | Система | Ошибка | 1012 | 2020-04-22 15:43:26 | NETWORK SERVICE | Microsoft-Windows-DNS-Client | 1012: При попытке чтения файла локальных узлов произошла ошибка.
|
| | | Система | Внимание | Нет | 2020-04-22 15:43:33 | СИСТЕМА | Microsoft-Windows-Wininit | 11: Настраиваемые библиотеки динамической компоновки загружаются для каждого приложения. Системный администратор должен просмотреть список библиотек, чтобы проверить, относятся ли они к надежным приложениям. Дополнительные сведения см. по адресу http://support.microsoft.com/kb/197571.
|
| | | Система | Ошибка | 1012 | 2020-04-22 15:44:28 | NETWORK SERVICE | Microsoft-Windows-DNS-Client | 1012: При попытке чтения файла локальных узлов произошла ошибка.
|
| | | Система | Внимание | Нет | 2020-04-22 15:45:28 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.SecurityAppBroker и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 15:45:28 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscBrokerManager и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 15:45:28 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscDataProtection и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 15:52:34 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 16:02:02 | AdminKSN | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.18362.449_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 16:13:00 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Ошибка | Нет | 2020-04-22 16:15:48 | AdminKSN | DCOM | 10010: Регистрация сервера {9BA05972-F6A8-11CF-A442-00A0C90A8F39} DCOM не выполнена за отведенное время ожидания.
|
| | | Система | Ошибка | 1012 | 2020-04-22 16:16:15 | NETWORK SERVICE | Microsoft-Windows-DNS-Client | 1012: При попытке чтения файла локальных узлов произошла ошибка.
|
| | | Система | Внимание | Нет | 2020-04-22 16:16:22 | СИСТЕМА | Microsoft-Windows-Wininit | 11: Настраиваемые библиотеки динамической компоновки загружаются для каждого приложения. Системный администратор должен просмотреть список библиотек, чтобы проверить, относятся ли они к надежным приложениям. Дополнительные сведения см. по адресу http://support.microsoft.com/kb/197571.
|
| | | Система | Ошибка | 1012 | 2020-04-22 16:17:18 | NETWORK SERVICE | Microsoft-Windows-DNS-Client | 1012: При попытке чтения файла локальных узлов произошла ошибка.
|
| | | Система | Внимание | Нет | 2020-04-22 16:18:18 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscDataProtection и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 16:18:18 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscBrokerManager и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 16:18:18 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.SecurityAppBroker и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Ошибка | Нет | 2020-04-22 16:23:40 | | Service Control Manager | 7031: Служба NVIDIA LocalSystem Container была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 6000 мсек: Перезапуск службы.
|
| | | Система | Ошибка | Нет | 2020-04-22 16:23:40 | | Service Control Manager | 7031: Служба NVIDIA Display Container LS была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 1000 мсек: Перезапуск службы.
|
| | | Система | Ошибка | Нет | 2020-04-22 16:23:40 | | Service Control Manager | 7031: Служба NVIDIA Telemetry Container была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 1000 мсек: Перезапуск службы.
|
| | | Система | Ошибка | 1012 | 2020-04-22 16:26:24 | NETWORK SERVICE | Microsoft-Windows-DNS-Client | 1012: При попытке чтения файла локальных узлов произошла ошибка.
|
| | | Система | Ошибка | 1012 | 2020-04-22 16:26:31 | NETWORK SERVICE | Microsoft-Windows-DNS-Client | 1012: При попытке чтения файла локальных узлов произошла ошибка.
|
| | | Система | Внимание | Нет | 2020-04-22 16:26:32 | СИСТЕМА | Microsoft-Windows-Wininit | 11: Настраиваемые библиотеки динамической компоновки загружаются для каждого приложения. Системный администратор должен просмотреть список библиотек, чтобы проверить, относятся ли они к надежным приложениям. Дополнительные сведения см. по адресу http://support.microsoft.com/kb/197571.
|
| | | Система | Ошибка | Нет | 2020-04-22 16:27:56 | | Service Control Manager | 7031: Служба NVIDIA LocalSystem Container была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 6000 мсек: Перезапуск службы.
|
| | | Система | Ошибка | Нет | 2020-04-22 16:27:56 | | Service Control Manager | 7031: Служба NVIDIA Telemetry Container была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 1000 мсек: Перезапуск службы.
|
| | | Система | Внимание | Нет | 2020-04-22 16:28:27 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscDataProtection и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 16:28:27 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.SecurityAppBroker и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 16:28:27 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscBrokerManager и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Ошибка | Нет | 2020-04-22 16:31:23 | | Service Control Manager | 7031: Служба NVIDIA LocalSystem Container была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 6000 мсек: Перезапуск службы.
|
| | | Система | Ошибка | Нет | 2020-04-22 16:31:23 | | Service Control Manager | 7031: Служба NVIDIA Telemetry Container была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 1000 мсек: Перезапуск службы.
|
| | | Система | Ошибка | 1012 | 2020-04-22 16:35:18 | NETWORK SERVICE | Microsoft-Windows-DNS-Client | 1012: При попытке чтения файла локальных узлов произошла ошибка.
|
| | | Система | Ошибка | 1012 | 2020-04-22 16:35:23 | NETWORK SERVICE | Microsoft-Windows-DNS-Client | 1012: При попытке чтения файла локальных узлов произошла ошибка.
|
| | | Система | Внимание | Нет | 2020-04-22 16:35:26 | СИСТЕМА | Microsoft-Windows-Wininit | 11: Настраиваемые библиотеки динамической компоновки загружаются для каждого приложения. Системный администратор должен просмотреть список библиотек, чтобы проверить, относятся ли они к надежным приложениям. Дополнительные сведения см. по адресу http://support.microsoft.com/kb/197571.
|
| | | Система | Внимание | Нет | 2020-04-22 16:36:40 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 16:37:21 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscDataProtection и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 16:37:21 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.SecurityAppBroker и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 16:37:21 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscBrokerManager и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 16:43:28 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Ошибка | 1012 | 2020-04-22 16:53:22 | NETWORK SERVICE | Microsoft-Windows-DNS-Client | 1012: При попытке чтения файла локальных узлов произошла ошибка.
|
| | | Система | Ошибка | 1012 | 2020-04-22 16:53:26 | NETWORK SERVICE | Microsoft-Windows-DNS-Client | 1012: При попытке чтения файла локальных узлов произошла ошибка.
|
| | | Система | Внимание | Нет | 2020-04-22 16:53:29 | СИСТЕМА | Microsoft-Windows-Wininit | 11: Настраиваемые библиотеки динамической компоновки загружаются для каждого приложения. Системный администратор должен просмотреть список библиотек, чтобы проверить, относятся ли они к надежным приложениям. Дополнительные сведения см. по адресу http://support.microsoft.com/kb/197571.
|
| | | Система | Внимание | Нет | 2020-04-22 16:55:19 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 16:55:25 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.SecurityAppBroker и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 16:55:25 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscBrokerManager и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 16:55:25 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscDataProtection и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 17:15:42 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Ошибка | 1012 | 2020-04-22 17:27:39 | NETWORK SERVICE | Microsoft-Windows-DNS-Client | 1012: При попытке чтения файла локальных узлов произошла ошибка.
|
| | | Система | Ошибка | 1012 | 2020-04-22 17:27:43 | NETWORK SERVICE | Microsoft-Windows-DNS-Client | 1012: При попытке чтения файла локальных узлов произошла ошибка.
|
| | | Система | Внимание | Нет | 2020-04-22 17:27:46 | СИСТЕМА | Microsoft-Windows-Wininit | 11: Настраиваемые библиотеки динамической компоновки загружаются для каждого приложения. Системный администратор должен просмотреть список библиотек, чтобы проверить, относятся ли они к надежным приложениям. Дополнительные сведения см. по адресу http://support.microsoft.com/kb/197571.
|
| | | Система | Внимание | Нет | 2020-04-22 17:28:10 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 17:29:42 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.SecurityAppBroker и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 17:29:42 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscDataProtection и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 17:29:42 | СИСТЕМА | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID Windows.SecurityCenter.WscBrokerManager и APPID Недоступно пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 17:37:17 | AdminKSN | DCOM | 10016: Параметры разрешений для конкретного приложения не дают разрешения Локально Активация для приложения COM-сервера с CLSID {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} и APPID {15C20B67-12E7-4BB6-92BB-7AFF07997402} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 17:46:09 | AdminKSN | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.18362.449_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|
| | | Система | Внимание | Нет | 2020-04-22 18:03:52 | AdminKSN | DCOM | 10016: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} и APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} пользователю DESKTOP-3FK51CA\AdminKSN с ИД безопасности (S-1-5-21-697313222-241376922-361564774-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.18362.449_neutral_neutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
|