Có một chút kỳ lạ, tôi hy vọng ai đó có thể giải thích.
Để thiết lập các cảnh:
- Đây là những người dùng tiêu chuẩn
- Họ không có quản trị viên cục bộ trên bất kỳ máy nào
- Họ không có bất kỳ thành viên tên miền hoặc quyền đặc biệt nào
- DC là máy chủ tệp, có 2 và chúng tôi thấy các nhật ký này trên cả hai.
- Mục đích chung ở đây là có thể kiểm tra tất cả các Mã thông báo nâng cao không thuộc hệ thống nào là đáng ngờ.
Tôi đang xem Sự kiện bên dưới trên bộ điều khiển miền của chúng tôi dành cho người dùng không có quyền quản trị và do đó (theo như tôi có thể biết) sẽ không nhận được mã thông báo nâng cao. Khi nhìn vào máy cục bộ, tôi không thấy bất kỳ thông tin đăng nhập mã thông báo nâng cao nào nhưng tôi thường (có lẽ luôn luôn, không thể nói chắc chắn) thấy quy trình tạo mới, quy trình khác nhau, cho đến nay tôi đã thấy Chrome và C:\ Windows\System32\taskhostw.exe. Tôi nghĩ rằng tôi cũng đã thấy nó tương quan với gpupdate đang chạy.
Câu hỏi của tôi là:
- Tại sao một quy trình mới có vẻ cục bộ đối với máy được đề cập lại khởi động xác thực mạng?
- Tôi có thể nghĩ ra một số lý do mà tôi cho rằng nhưng có vẻ như nó không thực sự cần thiết.
- Tại sao các kết nối mạng của quy trình đó lại yêu cầu mã thông báo nâng cao?
- Làm cách nào họ được cấp mã thông báo nâng cao khi tất cả các tài liệu nói rằng họ không nên?
- Tại sao/làm thế nào quá trình mới được bắt đầu khi người dùng có thể nhận được mã thông báo Loại 1.
Chi tiết có liên quan bên dưới nhưng hãy cho tôi biết nếu bạn muốn biết thêm:
Sự kiện 4625 từ DC
Một tài khoản đã được đăng nhập thành công.
Vấn đề:
ID bảo mật: S-1-0-0
Tên tài khoản: -
Tên miền tài khoản: -
ID đăng nhập: 0x0
Thông tin đăng nhập:
Loại đăng nhập: 3
Chế độ quản trị bị hạn chế: -
Tài khoản ảo: Không
Mã thông báo nâng cao: Có
Cấp độ mạo danh: Ủy quyền
Đăng nhập mới:
ID bảo mật: S-1-5-21-2694983979-2918899769-1333944616-3622
Tên tài khoản: TestUser
Tên miền tài khoản: LAN.CONTOSO.COM
ID đăng nhập: 0xCE02D4F1
ID đăng nhập được liên kết: 0x0
Tên tài khoản mạng: -
Tên miền tài khoản mạng: -
GUID đăng nhập: {1FB466DC-C6B8-19AD-313B-F65024F43969}
Thông tin quy trình:
ID quy trình: 0x0
Tên quy trình: -
Thông tin mạng:
Tên máy trạm: -
Địa chỉ mạng nguồn: 192.168.2.5
Cổng nguồn: 54805
Thông tin xác thực chi tiết:
Quá trình đăng nhập: Kerberos
Gói xác thực: Kerberos
Dịch vụ chuyển tiếp: -
Tên gói (chỉ dành cho NTLM): -
Độ dài khóa: 0
Sự kiện này được tạo khi một phiên đăng nhập được tạo. Nó được tạo ra trên máy tính mà được truy cập.
Các trường chủ đề cho biết tài khoản trên hệ thống cục bộ đã yêu cầu đăng nhập. Đây thường là một dịch vụ chẳng hạn như dịch vụ Máy chủ hoặc quy trình cục bộ chẳng hạn như Winlogon.exe hoặc Services.exe.
Trường loại đăng nhập cho biết loại đăng nhập đã xảy ra. Các loại phổ biến nhất là 2 (tương tác) và 3 (mạng).
Các trường Đăng nhập mới cho biết tài khoản mà đăng nhập mới đã được tạo, tức là tài khoản đã được đăng nhập.
Các trường mạng cho biết nơi bắt nguồn yêu cầu đăng nhập từ xa. Tên máy trạm không phải lúc nào cũng có sẵn và có thể để trống trong một số trường hợp.
Trường cấp độ mạo danh cho biết mức độ mà một quá trình trong phiên đăng nhập có thể mạo danh.
Các trường thông tin xác thực cung cấp thông tin chi tiết về yêu cầu đăng nhập cụ thể này.
- GUID đăng nhập là một mã định danh duy nhất có thể được sử dụng để tương quan sự kiện này với sự kiện KDC.
- Các dịch vụ đã chuyển tiếp cho biết các dịch vụ trung gian nào đã tham gia vào yêu cầu đăng nhập này.
- Tên gói cho biết giao thức phụ nào đã được sử dụng trong số các giao thức NTLM.
- Độ dài khóa cho biết độ dài của khóa phiên được tạo. Giá trị này sẽ là 0 nếu không có khóa phiên nào được yêu cầu.
Sự kiện 4688 từ Khách hàng
Trên loại độ cao mã thông báo: %%1936 = Mã thông báo đầy đủ loại 1
Một quy trình mới đã được tạo ra.
Chủ đề người sáng tạo:
ID bảo mật: S-1-5-18
Tên tài khoản: UK-LAPTOP-004$
Tên miền tài khoản: CONTOSO
ID đăng nhập: 0x3E7
Đối tượng mục tiêu:
ID bảo mật: S-1-5-21-2694983979-2918899769-1333944616-3622
Tên tài khoản: TestUser
Tên miền tài khoản: CONTOSO
ID đăng nhập: 0x7237F8F0
Thông tin quy trình:
ID quy trình mới: 0x502c
Tên quy trình mới: C:\Windows\System32\taskhostw.exe
Loại độ cao mã thông báo: %%1936 - Mã thông báo đầy đủ loại 1
Nhãn bắt buộc: S-1-16-8192
ID quy trình của người tạo: 0xbf8
Tên quy trình của người tạo: C:\Windows\System32\svchost.exe
Dòng lệnh xử lý:
Loại độ cao mã thông báo cho biết loại mã thông báo đã được gán cho quy trình mới theo chính sách Kiểm soát tài khoản người dùng.
Loại 1 là mã thông báo đầy đủ không có đặc quyền nào bị xóa hoặc nhóm bị vô hiệu hóa. Mã thông báo đầy đủ chỉ được sử dụng nếu Kiểm soát tài khoản người dùng bị tắt hoặc nếu người dùng là tài khoản Quản trị viên tích hợp hoặc tài khoản dịch vụ.
Loại 2 là mã thông báo nâng cao không có đặc quyền nào bị xóa hoặc nhóm bị vô hiệu hóa. Mã thông báo nâng cao được sử dụng khi Kiểm soát tài khoản người dùng được bật và người dùng chọn bắt đầu chương trình bằng Chạy với tư cách quản trị viên. Mã thông báo nâng cao cũng được sử dụng khi ứng dụng được định cấu hình để luôn yêu cầu đặc quyền quản trị hoặc luôn yêu cầu đặc quyền tối đa và người dùng là thành viên của nhóm Quản trị viên.
Loại 3 là mã thông báo giới hạn với các đặc quyền quản trị đã bị xóa và các nhóm quản trị bị vô hiệu hóa. Mã thông báo giới hạn được sử dụng khi Kiểm soát tài khoản người dùng được bật, ứng dụng không yêu cầu đặc quyền quản trị và người dùng không chọn khởi động chương trình bằng Chạy với tư cách quản trị viên.
nguồn
4624: https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4624
4688: https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4688
