มีบางอย่างแปลก ๆ ฉันหวังว่าจะมีคนอธิบายได้
ในการจัดฉาก:
ฉันเห็นเหตุการณ์ด้านล่างในตัวควบคุมโดเมนสำหรับผู้ใช้ที่ไม่มีสิทธิ์ของผู้ดูแลระบบ ดังนั้น (เท่าที่ฉันสามารถบอกได้) ไม่ควรได้รับโทเค็นยกระดับ เมื่อดูที่เครื่องท้องถิ่น ฉันไม่เห็นการเข้าสู่ระบบโทเค็นที่ยกระดับใด ๆ แต่ฉันมักจะเห็นการสร้างกระบวนการใหม่ กระบวนการแตกต่างกันไป จนถึงตอนนี้ฉันเคยเห็น Chrome และ C:\ Windows\System32\taskhostw.exe. ฉันคิดว่าฉันได้เห็นมันสัมพันธ์กับการรัน gpupdate ด้วย
คำถามของฉันคือ:
รายละเอียดที่เกี่ยวข้องด้านล่าง แต่โปรดแจ้งให้เราทราบหากคุณต้องการเพิ่มเติม:
เหตุการณ์ 4625 จาก DC
เข้าสู่ระบบบัญชีสำเร็จ
เรื่อง:
รหัสความปลอดภัย: S-1-0-0
ชื่อบัญชี: -
โดเมนบัญชี: -
ID เข้าสู่ระบบ: 0x0
ข้อมูลการเข้าสู่ระบบ:
ประเภทการเข้าสู่ระบบ: 3
โหมดผู้ดูแลระบบที่ถูกจำกัด: -
บัญชีเสมือน: ไม่ใช่
โทเค็นยกระดับ: ใช่
ระดับการเลียนแบบ: การมอบหมาย
เข้าสู่ระบบใหม่:
รหัสความปลอดภัย: S-1-5-21-2694983979-2918899769-1333944616-3622
ชื่อบัญชี: TestUser
โดเมนบัญชี: LAN.CONTOSO.COM
ID เข้าสู่ระบบ: 0xCE02D4F1
รหัสการเข้าสู่ระบบที่เชื่อมโยง: 0x0
ชื่อบัญชีเครือข่าย: -
โดเมนบัญชีเครือข่าย: -
GUID เข้าสู่ระบบ: {1FB466DC-C6B8-19AD-313B-F65024F43969}
ข้อมูลกระบวนการ:
รหัสกระบวนการ: 0x0
ชื่อกระบวนการ: -
ข้อมูลเครือข่าย:
ชื่อเวิร์กสเตชัน: -
ที่อยู่เครือข่ายต้นทาง: 192.168.2.5
พอร์ตต้นทาง: 54805
ข้อมูลการรับรองความถูกต้องโดยละเอียด:
กระบวนการเข้าสู่ระบบ: Kerberos
แพ็คเกจการรับรองความถูกต้อง: Kerberos
บริการเปลี่ยนผ่าน: -
ชื่อแพ็คเกจ (NTLM เท่านั้น): -
ความยาวคีย์: 0
เหตุการณ์นี้ถูกสร้างขึ้นเมื่อมีการสร้างเซสชันการเข้าสู่ระบบ มันถูกสร้างขึ้นบนคอมพิวเตอร์ที่เข้าถึงได้
ฟิลด์หัวเรื่องระบุบัญชีในระบบภายในที่ร้องขอการเข้าสู่ระบบ โดยทั่วไปมักเป็นบริการ เช่น บริการเซิร์ฟเวอร์ หรือกระบวนการในเครื่อง เช่น Winlogon.exe หรือ Services.exe
ช่องประเภทการเข้าสู่ระบบจะระบุประเภทการเข้าสู่ระบบที่เกิดขึ้น ประเภทที่พบบ่อยที่สุดคือ 2 (แบบโต้ตอบ) และ 3 (แบบเครือข่าย)
ฟิลด์การเข้าสู่ระบบใหม่จะระบุบัญชีที่มีการเข้าสู่ระบบใหม่ เช่น บัญชีที่เข้าสู่ระบบ
ฟิลด์เครือข่ายระบุว่าคำขอเข้าสู่ระบบระยะไกลเริ่มต้นที่ใด ชื่อเวิร์กสเตชันไม่พร้อมใช้งานเสมอ และอาจเว้นว่างไว้ในบางกรณี
ฟิลด์ระดับการเลียนแบบระบุขอบเขตที่กระบวนการในเซสชันการเข้าสู่ระบบสามารถเลียนแบบได้
ฟิลด์ข้อมูลการรับรองความถูกต้องให้ข้อมูลโดยละเอียดเกี่ยวกับคำขอเข้าสู่ระบบเฉพาะนี้
- Logon GUID เป็นตัวระบุเฉพาะที่สามารถใช้เพื่อเชื่อมโยงเหตุการณ์นี้กับเหตุการณ์ KDC
- บริการเปลี่ยนผ่านระบุว่าบริการระดับกลางใดบ้างที่เข้าร่วมในคำขอเข้าสู่ระบบนี้
- ชื่อแพ็คเกจระบุว่าโปรโตคอลย่อยใดถูกใช้ในโปรโตคอล NTLM
- ความยาวคีย์ระบุความยาวของคีย์เซสชันที่สร้างขึ้น นี่จะเป็น 0 หากไม่มีการร้องขอคีย์เซสชัน
เหตุการณ์ 4688 จากลูกค้า
บนประเภทการยกระดับโทเค็น: %%1936 = ประเภท 1 โทเค็นแบบเต็ม
มีการสร้างกระบวนการใหม่
หัวข้อผู้สร้าง:
รหัสความปลอดภัย: S-1-5-18
ชื่อบัญชี: UK-LAPTOP-004$
โดเมนบัญชี: CONTOSO
ID เข้าสู่ระบบ: 0x3E7
หัวข้อเป้าหมาย:
รหัสความปลอดภัย: S-1-5-21-2694983979-2918899769-1333944616-3622
ชื่อบัญชี: TestUser
โดเมนบัญชี: CONTOSO
ID เข้าสู่ระบบ: 0x7237F8F0
ข้อมูลกระบวนการ:
รหัสกระบวนการใหม่: 0x502c
ชื่อกระบวนการใหม่: C:\Windows\System32\taskhostw.exe
ประเภทการยกระดับโทเค็น: %%1936 - ประเภท 1 โทเค็นแบบเต็ม
ป้ายบังคับ: S-1-16-8192
ID กระบวนการของผู้สร้าง: 0xbf8
ชื่อกระบวนการของผู้สร้าง: C:\Windows\System32\svchost.exe
บรรทัดคำสั่งกระบวนการ:
Token Elevation Type ระบุประเภทของโทเค็นที่กำหนดให้กับกระบวนการใหม่ตามนโยบายการควบคุมบัญชีผู้ใช้
ประเภท 1 เป็นโทเค็นเต็มรูปแบบที่ไม่มีการลบสิทธิ์หรือกลุ่มที่ปิดใช้งาน โทเค็นแบบเต็มจะใช้ก็ต่อเมื่อการควบคุมบัญชีผู้ใช้ถูกปิดใช้งาน หรือหากผู้ใช้เป็นบัญชีผู้ดูแลระบบในตัวหรือบัญชีบริการ
ประเภท 2 เป็นโทเค็นยกระดับที่ไม่มีการลบสิทธิ์หรือกลุ่มที่ปิดใช้งาน โทเค็นยกระดับจะใช้เมื่อเปิดใช้งานการควบคุมบัญชีผู้ใช้ และผู้ใช้เลือกที่จะเริ่มโปรแกรมโดยใช้ Run as administrator โทเค็นยกระดับยังใช้เมื่อแอปพลิเคชันได้รับการกำหนดค่าให้ต้องการสิทธิ์ของผู้ดูแลระบบเสมอหรือต้องการสิทธิ์สูงสุดเสมอ และผู้ใช้เป็นสมาชิกของกลุ่มผู้ดูแลระบบ
ประเภท 3 เป็นโทเค็นแบบจำกัดที่ลบสิทธิ์ของผู้ดูแลระบบและปิดใช้งานกลุ่มผู้ดูแลระบบ โทเค็นแบบจำกัดจะใช้เมื่อเปิดใช้งานการควบคุมบัญชีผู้ใช้ แอปพลิเคชันไม่ต้องการสิทธิ์ของผู้ดูแลระบบ และผู้ใช้ไม่ได้เลือกที่จะเริ่มโปรแกรมโดยใช้ Run as administrator
แหล่งที่มา
4624: https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4624
4688: https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4688
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
