Merkwürdige Meldungen
Hallo, Gerade frisch Win 10 Installiert (per gekaufter DVD 120€) und folgende Meldung gefunden https://ibb.co/7z4w71r
PC war vorher Infiziert, kann es sein das sich da was vorbeigeschlichen hat ?
--Win10User (Diskussion) 12:18, 20. Jun. 2020 (CEST)
https://ibb.co/zfdW918
Hier noch ein screenshot --Win10User (Diskussion) 12:25, 20. Jun. 2020 (CEST)
hier noch paar Protokolle Code:
Schlüsselwörter Datum und Uhrzeit Quelle Ereignis-ID Aufgabenkategorie
Überwachung erfolgreich 20.06.2020 13:01:59 Microsoft-Windows-Security-Auditing 4798 Benutzerkontenverwaltung "Die lokale Gruppenmitgliedschaft eines Benutzers wurde aufgezählt.
Antragsteller:
Sicherheits-ID: DESKTOP-FEJ5UKJ\Tmann
Kontoname: Tmann
Kontodomäne: DESKTOP-FEJ5UKJ
Anmelde-ID: 0xEB4CB
Benutzer:
Sicherheits-ID: DESKTOP-FEJ5UKJ\Tmann
Kontoname: Tmann
Kontodomäne: DESKTOP-FEJ5UKJ
Prozessinformationen:
Prozess-ID: 0x608
Prozessname: C:\Windows\System32\mmc.exe"
Überwachung erfolgreich 20.06.2020 13:00:22 Microsoft-Windows-Security-Auditing 4672 Spezielle Anmeldung "Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3E7
Berechtigungen: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege"
Überwachung erfolgreich 20.06.2020 13:00:22 Microsoft-Windows-Security-Auditing 4624 Anmelden "Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: WIN-LQ3M6Q5EG9D$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3E7
Anmeldeinformationen:
Anmeldetyp: 5
Eingeschränkter Administratormodus: -
Virtuelles Konto: Nein
Token mit erhöhten Rechten: Ja
Identitätswechselebene: Identitätswechsel
Neue Anmeldung:
Sicherheits-ID: SYSTEM
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3E7
Verknüpfte Anmelde-ID: 0x0
Netzwerk-Kontoname: -
Netzwerk-Kontodomäne: -
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x2c4
Prozessname: C:\Windows\System32\services.exe
Netzwerkinformationen:
Arbeitsstationsname: -
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie ""Winlogon.exe"" oder ""Services.exe"".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die neue Anmeldung erstellt wurde, d.*h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Das Feld für die Identitätswechselebene gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0."
Überwachung erfolgreich 20.06.2020 13:00:00 Microsoft-Windows-Security-Auditing 4798 Benutzerkontenverwaltung "Die lokale Gruppenmitgliedschaft eines Benutzers wurde aufgezählt.
Antragsteller:
Sicherheits-ID: DESKTOP-FEJ5UKJ\Tmann
Kontoname: Tmann
Kontodomäne: DESKTOP-FEJ5UKJ
Anmelde-ID: 0xEB4CB
Benutzer:
Sicherheits-ID: DESKTOP-FEJ5UKJ\Tmann
Kontoname: Tmann
Kontodomäne: DESKTOP-FEJ5UKJ
Prozessinformationen:
Prozess-ID: 0x608
Prozessname: C:\Windows\System32\mmc.exe"
Überwachung erfolgreich 20.06.2020 12:59:52 Microsoft-Windows-Security-Auditing 4672 Spezielle Anmeldung "Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3E7
Berechtigungen: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege"
Überwachung erfolgreich 20.06.2020 12:59:52 Microsoft-Windows-Security-Auditing 4624 Anmelden "Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: WIN-LQ3M6Q5EG9D$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3E7
Anmeldeinformationen:
Anmeldetyp: 5
Eingeschränkter Administratormodus: -
Virtuelles Konto: Nein
Token mit erhöhten Rechten: Ja
Identitätswechselebene: Identitätswechsel
Neue Anmeldung:
Sicherheits-ID: SYSTEM
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3E7
Verknüpfte Anmelde-ID: 0x0
Netzwerk-Kontoname: -
Netzwerk-Kontodomäne: -
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x2c4
Prozessname: C:\Windows\System32\services.exe
Netzwerkinformationen:
Arbeitsstationsname: -
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie ""Winlogon.exe"" oder ""Services.exe"".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die neue Anmeldung erstellt wurde, d.*h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Das Feld für die Identitätswechselebene gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0."
Überwachung erfolgreich 20.06.2020 12:56:54 Microsoft-Windows-Security-Auditing 4672 Spezielle Anmeldung "Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3E7
Berechtigungen: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege"
Überwachung erfolgreich 20.06.2020 12:56:54 Microsoft-Windows-Security-Auditing 4624 Anmelden "Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: WIN-LQ3M6Q5EG9D$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3E7
Anmeldeinformationen:
Anmeldetyp: 5
Eingeschränkter Administratormodus: -
Virtuelles Konto: Nein
Token mit erhöhten Rechten: Ja
Identitätswechselebene: Identitätswechsel
Neue Anmeldung:
Sicherheits-ID: SYSTEM
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3E7
Verknüpfte Anmelde-ID: 0x0
Netzwerk-Kontoname: -
Netzwerk-Kontodomäne: -
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x2c4
Prozessname: C:\Windows\System32\services.exe
Netzwerkinformationen:
Arbeitsstationsname: -
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie ""Winlogon.exe"" oder ""Services.exe"".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die neue Anmeldung erstellt wurde, d.*h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Das Feld für die Identitätswechselebene gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0."
Überwachung erfolgreich 20.06.2020 12:54:42 Microsoft-Windows-Security-Auditing 4672 Spezielle Anmeldung "Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3E7
Berechtigungen: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege"
Überwachung erfolgreich 20.06.2020 12:54:42 Microsoft-Windows-Security-Auditing 4624 Anmelden "Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: WIN-LQ3M6Q5EG9D$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3E7
Anmeldeinformationen:
Anmeldetyp: 5
Eingeschränkter Administratormodus: -
Virtuelles Konto: Nein
Token mit erhöhten Rechten: Ja
Identitätswechselebene: Identitätswechsel
Neue Anmeldung:
Sicherheits-ID: SYSTEM
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3E7
Verknüpfte Anmelde-ID: 0x0
Netzwerk-Kontoname: -
Netzwerk-Kontodomäne: -
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x2c4
Prozessname: C:\Windows\System32\services.exe
Netzwerkinformationen:
Arbeitsstationsname: -
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie ""Winlogon.exe"" oder ""Services.exe"".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die neue Anmeldung erstellt wurde, d.*h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Das Feld für die Identitätswechselebene gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0."
Überwachung erfolgreich 20.06.2020 12:54:39 Microsoft-Windows-Security-Auditing 4672 Spezielle Anmeldung "Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3E7
Berechtigungen: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege"
Überwachung erfolgreich 20.06.2020 12:54:39 Microsoft-Windows-Security-Auditing 4624 Anmelden "Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: WIN-LQ3M6Q5EG9D$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3E7
Anmeldeinformationen:
Anmeldetyp: 5
Eingeschränkter Administratormodus: -
Virtuelles Konto: Nein
Token mit erhöhten Rechten: Ja
Identitätswechselebene: Identitätswechsel
Neue Anmeldung:
Sicherheits-ID: SYSTEM
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3E7
Verknüpfte Anmelde-ID: 0x0
Netzwerk-Kontoname: -
Netzwerk-Kontodomäne: -
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x2c4
Prozessname: C:\Windows\System32\services.exe
Netzwerkinformationen:
Arbeitsstationsname: -
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie ""Winlogon.exe"" oder ""Services.exe"".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die neue Anmeldung erstellt wurde, d.*h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Das Feld für die Identitätswechselebene gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0."
Überwachung erfolgreich 20.06.2020 12:52:55 Microsoft-Windows-Security-Auditing 4672 Spezielle Anmeldung "Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3E7
Berechtigungen: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege"
Überwachung erfolgreich 20.06.2020 12:52:55 Microsoft-Windows-Security-Auditing 4624 Anmelden "Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: WIN-LQ3M6Q5EG9D$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3E7
Anmeldeinformationen:
Anmeldetyp: 5
Eingeschränkter Administratormodus: -
Virtuelles Konto: Nein
Token mit erhöhten Rechten: Ja
Identitätswechselebene: Identitätswechsel
Neue Anmeldung:
Sicherheits-ID: SYSTEM
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3E7
Verknüpfte Anmelde-ID: 0x0
Netzwerk-Kontoname: -
Netzwerk-Kontodomäne: -
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x2c4
Prozessname: C:\Windows\System32\services.exe
Netzwerkinformationen:
Arbeitsstationsname: -
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie ""Winlogon.exe"" oder ""Services.exe"".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die neue Anmeldung erstellt wurde, d.*h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Das Feld für die Identitätswechselebene gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0."
Überwachung erfolgreich 20.06.2020 12:52:40 Microsoft-Windows-Security-Auditing 4672 Spezielle Anmeldung "Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3E7
Berechtigungen: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege"
Überwachung erfolgreich 20.06.2020 12:52:40 Microsoft-Windows-Security-Auditing 4624 Anmelden "Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: WIN-LQ3M6Q5EG9D$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3E7
Anmeldeinformationen:
Anmeldetyp: 5
Eingeschränkter Administratormodus: -
Virtuelles Konto: Nein
Token mit erhöhten Rechten: Ja
Identitätswechselebene: Identitätswechsel
Neue Anmeldung:
Sicherheits-ID: SYSTEM
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3E7
Verknüpfte Anmelde-ID: 0x0
Netzwerk-Kontoname: -
Netzwerk-Kontodomäne: -
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x2c4
Prozessname: C:\Windows\System32\services.exe
Netzwerkinformationen:
Arbeitsstationsname: -
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie ""Winlogon.exe"" oder ""Services.exe"".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die neue Anmeldung erstellt wurde, d.*h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Das Feld für die Identitätswechselebene gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0."
Überwachung erfolgreich 20.06.2020 12:52:23 Microsoft-Windows-Security-Auditing 4798 Benutzerkontenverwaltung "Die lokale Gruppenmitgliedschaft eines Benutzers wurde aufgezählt.
Antragsteller:
Sicherheits-ID: DESKTOP-FEJ5UKJ\Tmann
Kontoname: Tmann
Kontodomäne: DESKTOP-FEJ5UKJ
Anmelde-ID: 0xEB4CB
Benutzer:
Sicherheits-ID: DESKTOP-FEJ5UKJ\Tmann
Kontoname: Tmann
Kontodomäne: DESKTOP-FEJ5UKJ
Prozessinformationen:
Prozess-ID: 0x608
Prozessname: C:\Windows\System32\mmc.exe"
Überwachung erfolgreich 20.06.2020 12:51:52 Microsoft-Windows-Security-Auditing 4798 Benutzerkontenverwaltung "Die lokale Gruppenmitgliedschaft eines Benutzers wurde aufgezählt.
Antragsteller:
Sicherheits-ID: DESKTOP-FEJ5UKJ\Tmann
Kontoname: Tmann
Kontodomäne: DESKTOP-FEJ5UKJ
Anmelde-ID: 0xEB4CB
Benutzer:
Sicherheits-ID: DESKTOP-FEJ5UKJ\Tmann
Kontoname: Tmann
Kontodomäne: DESKTOP-FEJ5UKJ
Prozessinformationen:
Prozess-ID: 0x608
Prozessname: C:\Windows\System32\mmc.exe"
Überwachung erfolgreich 20.06.2020 12:51:52 Microsoft-Windows-Security-Auditing 4798 Benutzerkontenverwaltung "Die lokale Gruppenmitgliedschaft eines Benutzers wurde aufgezählt.
Antragsteller:
Sicherheits-ID: DESKTOP-FEJ5UKJ\Tmann
Kontoname: Tmann
Kontodomäne: DESKTOP-FEJ5UKJ
Anmelde-ID: 0xEB4E8
Benutzer:
Sicherheits-ID: DESKTOP-FEJ5UKJ\Tmann
Kontoname: Tmann
Kontodomäne: DESKTOP-FEJ5UKJ
Prozessinformationen:
Prozess-ID: 0xaec
Prozessname: C:\Windows\explorer.exe"
Überwachung erfolgreich 20.06.2020 12:51:46 Microsoft-Windows-Security-Auditing 4798 Benutzerkontenverwaltung "Die lokale Gruppenmitgliedschaft eines Benutzers wurde aufgezählt.
Antragsteller:
Sicherheits-ID: DESKTOP-FEJ5UKJ\Tmann
Kontoname: Tmann
Kontodomäne: DESKTOP-FEJ5UKJ
Anmelde-ID: 0xEB4CB
Benutzer:
Sicherheits-ID: DESKTOP-FEJ5UKJ\Tmann
Kontoname: Tmann
Kontodomäne: DESKTOP-FEJ5UKJ
Prozessinformationen:
Prozess-ID: 0x608
Prozessname: C:\Windows\System32\mmc.exe"
Überwachung erfolgreich 20.06.2020 12:51:21 Microsoft-Windows-Security-Auditing 4672 Spezielle Anmeldung "Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3E7
Berechtigungen: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege"
Überwachung erfolgreich 20.06.2020 12:51:21 Microsoft-Windows-Security-Auditing 4624 Anmelden "Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: WIN-LQ3M6Q5EG9D$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3E7
Anmeldeinformationen:
Anmeldetyp: 5
Eingeschränkter Administratormodus: -
Virtuelles Konto: Nein
Token mit erhöhten Rechten: Ja
Identitätswechselebene: Identitätswechsel
Neue Anmeldung:
Sicherheits-ID: SYSTEM
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3E7
Verknüpfte Anmelde-ID: 0x0
Netzwerk-Kontoname: -
Netzwerk-Kontodomäne: -
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x2c4
Prozessname: C:\Windows\System32\services.exe
Netzwerkinformationen:
Arbeitsstationsname: -
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie ""Winlogon.exe"" oder ""Services.exe"".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die neue Anmeldung erstellt wurde, d.*h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Das Feld für die Identitätswechselebene gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0."
Überwachung erfolgreich 20.06.2020 12:49:48 Microsoft-Windows-Security-Auditing 4672 Spezielle Anmeldung "Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3E7
Berechtigungen: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege"
Überwachung erfolgreich 20.06.2020 12:49:48 Microsoft-Windows-Security-Auditing 4624 Anmelden "Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: WIN-LQ3M6Q5EG9D$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3E7
Anmeldeinformationen:
Anmeldetyp: 5
Eingeschränkter Administratormodus: -
Virtuelles Konto: Nein
Token mit erhöhten Rechten: Ja
Identitätswechselebene: Identitätswechsel
Neue Anmeldung:
Sicherheits-ID: SYSTEM
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3E7
Verknüpfte Anmelde-ID: 0x0
Netzwerk-Kontoname: -
Netzwerk-Kontodomäne: -
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x2c4
Prozessname: C:\Windows\System32\services.exe
Netzwerkinformationen:
Arbeitsstationsname: -
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie ""Winlogon.exe"" oder ""Services.exe"".
Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
Die Felder für die neue Anmeldung geben das Konto an, für das die neue Anmeldung erstellt wurde, d.*h. das angemeldete Konto.
Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
Das Feld für die Identitätswechselebene gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.
Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0."
Überwachung erfolgreich 20.06.2020 12:49:43 Microsoft-Windows-Security-Auditing 4672 Spezielle Anmeldung "Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3E7
Berechtigungen: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege"
Überwachung erfolgreich 20.06.2020 12:49:43 Microsoft-Windows-Security-Auditing 4624 Anmelden "Ein Konto wurde erfolgreich angemeldet.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: WIN-LQ3M6Q5EG9D$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3E7
Anmeldeinformationen:
Anmeldetyp: 5
Eingeschränkter Administratormodus: -
Virtuelles Konto: Nein
Token mit erhöhten Rechten: Ja
Identitätswechselebene: Identitätswechsel
Neue Anmeldung:
Sicherheits-ID: SYSTEM
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3E7
Verknüpfte Anmelde-ID: 0x0
Netzwerk-Kontoname: -
Netzwerk-Kontodomäne: -
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
Prozessinformationen:
Prozess-ID: 0x2c4
Prozessname: C:\Windows\System32\services.exe
Netzwerkinformationen:
Arbeitsstationsname: -
Quellnetzwerkadresse: -
Quellport: -
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess: Advapi
Authentifizierungspaket: Negotiate
Übertragene Dienste: -
Paketname (nur NTLM): -
Schlüssellänge: 0
|
