如何判断哪个服务或任务导致了某个 4624 登录事件?

tag-icon tag-icon windows login services scheduled-tasks event-viewer
如何判断哪个服务或任务导致了某个 4624 登录事件?

我发现了一系列这样的Windows登录事件4624:

An account was successfully logged on.

Subject:
    Security ID:        SYSTEM
    Account Name:       mycomputername$
    Account Domain:     WORKGROUP
    Logon ID:       0x3E7

Logon Information:
    Logon Type:     5
    Restricted Admin Mode:  -
    Virtual Account:        No
    Elevated Token:     Yes

Impersonation Level:        Impersonation

New Logon:
    Security ID:        SYSTEM
    Account Name:       SYSTEM
    Account Domain:     NT AUTHORITY
    Logon ID:       0x3E7
    Linked Logon ID:        0x0
    Network Account Name:   -
    Network Account Domain: -
    Logon GUID:     {00000000-0000-0000-0000-000000000000}

Process Information:
    Process ID:     0x3cc
    Process Name:       C:\Windows\System32\services.exe

Network Information:
    Workstation Name:   -
    Source Network Address: -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:      Advapi  
    Authentication Package: Negotiate
    Transited Services: -
    Package Name (NTLM only):   -
    Key Length:     0

每个事件之后都会有另一个 4672 事件

Special privileges assigned to new logon.

Subject:
    Security ID:        SYSTEM
    Account Name:       SYSTEM
    Account Domain:     NT AUTHORITY
    Logon ID:       0x3E7

Privileges:     SeAssignPrimaryTokenPrivilege
            SeTcbPrivilege
            SeSecurityPrivilege
            SeTakeOwnershipPrivilege
            SeLoadDriverPrivilege
            SeBackupPrivilege
            SeRestorePrivilege
            SeDebugPrivilege
            SeAuditPrivilege
            SeSystemEnvironmentPrivilege
            SeImpersonatePrivilege
            SeDelegateSessionUserImpersonatePrivilege

从表面上看,似乎是某些服务或计划任务导致了这些登录。我尝试查看Windows Logs\ApplicationWindows Logs\System但没有发现在这些登录的同时发生的事件。我不知道如何找到导致这些登录的服务或任务。欢迎提供任何建议或提示。提前致谢!

答案1

第一个事件由微软在文章中记录 4624:帐户已成功登录4624(S): An account was successful login on

登录类型为5,表示“服务由服务控制管理器启动”。根据记录,事件由服务控制管理器生成C:\Windows\System32\services.exe,服务控制管理器负责运行、结束和与系统服务交互。

主题系统服务是用 SYSTEM 帐户启动的,这赋予了它基本上无限的权限,这导致发出 4672 (S):分配给新登录的特殊权限

登录过程被标记为“advapi”,这可能意味着登录是通过 IIS Web 服务器和进程进行的基于 Web 的登录advapi。但是,这仅适用于网络源的登录类型 3。您的登录类型是 5,它是计算机内部的。

您的计算机可能并未受到感染。

参考 第 5 章 登录/注销事件

更多信息 :

文章中描述了此事件 4624:帐户已成功登录4624(S): An account was successful login on. 任何类型的登录都会被记录。

您可以从现场看到该事件的出处LogonType

登录类型 登录标题 描述
0 系统 仅由系统帐户使用,例如在系统启动时。
2 交互的 有用户登录到此计算机。
3 网络 从网络登录到此计算机的用户或计算机。
4 批处理登录类型由批处理服务器使用,其中进程可以代表用户执行,而无需用户的直接干预。
5 服务 服务已由服务控制管理器启动。
7 开锁 该工作站已解锁。
8 网络明文 用户从网络登录到此计算机。用户的密码以非哈希形式传递给身份验证包。内置身份验证会将所有哈希凭据打包,然后再通过网络发送。凭据不会以纯文本(也称为明文)的形式在网络中传输。
9 新凭证 调用方克隆了其当前令牌并为出站连接指定了新凭据。新的登录会话具有相同的本地身份,但对其他网络连接使用不同的凭据。
10 远程互动 用户使用终端服务或远程桌面远程登录到此计算机。
11 缓存互动 用户使用存储在本地计算机上的网络凭据登录到此计算机。未联系域控制器来验证凭据。
12 缓存远程交互 与 RemoteInteractive 相同。用于内部审计。
十三 缓存解锁 工作站登录。

相关内容