มีบางอย่างแปลก ๆ ฉันหวังว่าจะมีคนอธิบายได้
ในการจัดฉาก:
- นี่คือผู้ใช้มาตรฐาน
- พวกเขาไม่มีผู้ดูแลระบบในเครื่องใดๆ
- พวกเขาไม่มีการเป็นสมาชิกโดเมนหรือสิทธิ์พิเศษใดๆ
- DC เป็นเซิร์ฟเวอร์ไฟล์ มี 2 เครื่อง และเราเห็นบันทึกเหล่านี้ทั้งสองรายการ
- จุดมุ่งหมายทั่วไปที่นี่คือการตรวจสอบโทเค็น Elevated ทั้งหมดที่ไม่มีระบบใดที่น่าสงสัย
ฉันเห็นเหตุการณ์ด้านล่างในตัวควบคุมโดเมนสำหรับผู้ใช้ที่ไม่มีสิทธิ์ของผู้ดูแลระบบ ดังนั้น (เท่าที่ฉันสามารถบอกได้) ไม่ควรได้รับโทเค็นยกระดับ เมื่อดูที่เครื่องท้องถิ่น ฉันไม่เห็นการเข้าสู่ระบบโทเค็นที่ยกระดับใด ๆ แต่ฉันมักจะเห็นการสร้างกระบวนการใหม่ กระบวนการแตกต่างกันไป จนถึงตอนนี้ฉันเคยเห็น Chrome และ C:\ Windows\System32\taskhostw.exe. ฉันคิดว่าฉันได้เห็นมันสัมพันธ์กับการรัน gpupdate ด้วย
คำถามของฉันคือ:
- เหตุใดกระบวนการใหม่ที่ดูเหมือนอยู่ในเครื่องที่มีปัญหาจึงเริ่มต้นการพิสูจน์ตัวตนเครือข่าย
- ฉันสามารถนึกถึงเหตุผลหลายประการ แต่ดูเหมือนว่าจะไม่จำเป็นอย่างยิ่ง
- เหตุใดการเชื่อมต่อเครือข่ายกระบวนการเหล่านั้นจึงร้องขอโทเค็นที่ยกระดับ
- พวกเขาจะได้รับโทเค็นยกระดับได้อย่างไรในเมื่อเอกสารทั้งหมดบอกว่าไม่ควร
- เหตุใดกระบวนการใหม่จึงเริ่มต้นขึ้นเนื่องจากผู้ใช้สามารถรับโทเค็น Type 1 ได้
รายละเอียดที่เกี่ยวข้องด้านล่าง แต่โปรดแจ้งให้เราทราบหากคุณต้องการเพิ่มเติม:
เหตุการณ์ 4625 จาก DC
เข้าสู่ระบบบัญชีสำเร็จ
เรื่อง:
รหัสความปลอดภัย: S-1-0-0
ชื่อบัญชี: -
โดเมนบัญชี: -
ID เข้าสู่ระบบ: 0x0
ข้อมูลการเข้าสู่ระบบ:
ประเภทการเข้าสู่ระบบ: 3
โหมดผู้ดูแลระบบที่ถูกจำกัด: -
บัญชีเสมือน: ไม่ใช่
โทเค็นยกระดับ: ใช่
ระดับการเลียนแบบ: การมอบหมาย
เข้าสู่ระบบใหม่:
รหัสความปลอดภัย: S-1-5-21-2694983979-2918899769-1333944616-3622
ชื่อบัญชี: TestUser
โดเมนบัญชี: LAN.CONTOSO.COM
ID เข้าสู่ระบบ: 0xCE02D4F1
รหัสการเข้าสู่ระบบที่เชื่อมโยง: 0x0
ชื่อบัญชีเครือข่าย: -
โดเมนบัญชีเครือข่าย: -
GUID เข้าสู่ระบบ: {1FB466DC-C6B8-19AD-313B-F65024F43969}
ข้อมูลกระบวนการ:
รหัสกระบวนการ: 0x0
ชื่อกระบวนการ: -
ข้อมูลเครือข่าย:
ชื่อเวิร์กสเตชัน: -
ที่อยู่เครือข่ายต้นทาง: 192.168.2.5
พอร์ตต้นทาง: 54805
ข้อมูลการรับรองความถูกต้องโดยละเอียด:
กระบวนการเข้าสู่ระบบ: Kerberos
แพ็คเกจการรับรองความถูกต้อง: Kerberos
บริการเปลี่ยนผ่าน: -
ชื่อแพ็คเกจ (NTLM เท่านั้น): -
ความยาวคีย์: 0
เหตุการณ์นี้ถูกสร้างขึ้นเมื่อมีการสร้างเซสชันการเข้าสู่ระบบ มันถูกสร้างขึ้นบนคอมพิวเตอร์ที่เข้าถึงได้
ฟิลด์หัวเรื่องระบุบัญชีในระบบภายในที่ร้องขอการเข้าสู่ระบบ โดยทั่วไปมักเป็นบริการ เช่น บริการเซิร์ฟเวอร์ หรือกระบวนการในเครื่อง เช่น Winlogon.exe หรือ Services.exe
ช่องประเภทการเข้าสู่ระบบจะระบุประเภทการเข้าสู่ระบบที่เกิดขึ้น ประเภทที่พบบ่อยที่สุดคือ 2 (แบบโต้ตอบ) และ 3 (แบบเครือข่าย)
ฟิลด์การเข้าสู่ระบบใหม่จะระบุบัญชีที่มีการเข้าสู่ระบบใหม่ เช่น บัญชีที่เข้าสู่ระบบ
ฟิลด์เครือข่ายระบุว่าคำขอเข้าสู่ระบบระยะไกลเริ่มต้นที่ใด ชื่อเวิร์กสเตชันไม่พร้อมใช้งานเสมอ และอาจเว้นว่างไว้ในบางกรณี
ฟิลด์ระดับการเลียนแบบระบุขอบเขตที่กระบวนการในเซสชันการเข้าสู่ระบบสามารถเลียนแบบได้
ฟิลด์ข้อมูลการรับรองความถูกต้องให้ข้อมูลโดยละเอียดเกี่ยวกับคำขอเข้าสู่ระบบเฉพาะนี้
- Logon GUID เป็นตัวระบุเฉพาะที่สามารถใช้เพื่อเชื่อมโยงเหตุการณ์นี้กับเหตุการณ์ KDC
- บริการเปลี่ยนผ่านระบุว่าบริการระดับกลางใดบ้างที่เข้าร่วมในคำขอเข้าสู่ระบบนี้
- ชื่อแพ็คเกจระบุว่าโปรโตคอลย่อยใดถูกใช้ในโปรโตคอล NTLM
- ความยาวคีย์ระบุความยาวของคีย์เซสชันที่สร้างขึ้น นี่จะเป็น 0 หากไม่มีการร้องขอคีย์เซสชัน
เหตุการณ์ 4688 จากลูกค้า
บนประเภทการยกระดับโทเค็น: %%1936 = ประเภท 1 โทเค็นแบบเต็ม
มีการสร้างกระบวนการใหม่
หัวข้อผู้สร้าง:
รหัสความปลอดภัย: S-1-5-18
ชื่อบัญชี: UK-LAPTOP-004$
โดเมนบัญชี: CONTOSO
ID เข้าสู่ระบบ: 0x3E7
หัวข้อเป้าหมาย:
รหัสความปลอดภัย: S-1-5-21-2694983979-2918899769-1333944616-3622
ชื่อบัญชี: TestUser
โดเมนบัญชี: CONTOSO
ID เข้าสู่ระบบ: 0x7237F8F0
ข้อมูลกระบวนการ:
รหัสกระบวนการใหม่: 0x502c
ชื่อกระบวนการใหม่: C:\Windows\System32\taskhostw.exe
ประเภทการยกระดับโทเค็น: %%1936 - ประเภท 1 โทเค็นแบบเต็ม
ป้ายบังคับ: S-1-16-8192
ID กระบวนการของผู้สร้าง: 0xbf8
ชื่อกระบวนการของผู้สร้าง: C:\Windows\System32\svchost.exe
บรรทัดคำสั่งกระบวนการ:
Token Elevation Type ระบุประเภทของโทเค็นที่กำหนดให้กับกระบวนการใหม่ตามนโยบายการควบคุมบัญชีผู้ใช้
ประเภท 1 เป็นโทเค็นเต็มรูปแบบที่ไม่มีการลบสิทธิ์หรือกลุ่มที่ปิดใช้งาน โทเค็นแบบเต็มจะใช้ก็ต่อเมื่อการควบคุมบัญชีผู้ใช้ถูกปิดใช้งาน หรือหากผู้ใช้เป็นบัญชีผู้ดูแลระบบในตัวหรือบัญชีบริการ
ประเภท 2 เป็นโทเค็นยกระดับที่ไม่มีการลบสิทธิ์หรือกลุ่มที่ปิดใช้งาน โทเค็นยกระดับจะใช้เมื่อเปิดใช้งานการควบคุมบัญชีผู้ใช้ และผู้ใช้เลือกที่จะเริ่มโปรแกรมโดยใช้ Run as administrator โทเค็นยกระดับยังใช้เมื่อแอปพลิเคชันได้รับการกำหนดค่าให้ต้องการสิทธิ์ของผู้ดูแลระบบเสมอหรือต้องการสิทธิ์สูงสุดเสมอ และผู้ใช้เป็นสมาชิกของกลุ่มผู้ดูแลระบบ
ประเภท 3 เป็นโทเค็นแบบจำกัดที่ลบสิทธิ์ของผู้ดูแลระบบและปิดใช้งานกลุ่มผู้ดูแลระบบ โทเค็นแบบจำกัดจะใช้เมื่อเปิดใช้งานการควบคุมบัญชีผู้ใช้ แอปพลิเคชันไม่ต้องการสิทธิ์ของผู้ดูแลระบบ และผู้ใช้ไม่ได้เลือกที่จะเริ่มโปรแกรมโดยใช้ Run as administrator
แหล่งที่มา
4624: https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4624
4688: https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4688