使用者:
安全 ID: SYSTEM
帐户名称: DESKTOP-4BRTK34$
帐户域: WORKGROUP
登录 ID: 0x3E7
登录信息:
登录类型: 5
受限制的管理员模式: -
虚拟帐户: 否
提升的令牌: 是
模拟级别: 模拟
新登录:
安全 ID: SYSTEM
帐户名称: SYSTEM
帐户域: NT AUTHORITY
登录 ID: 0x3E7
链接的登录 ID: 0x0
网络帐户名称: -
网络帐户域: -
登录 GUID: {00000000-0000-0000-0000-000000000000}
进程信息:
进程 ID: 0x3d4
进程名称: C:\Windows\System32\services.exe
网络信息:
工作站名称: -
源网络地址: -
源端口: -
详细的身份验证信息:
登录进程: Advapi
身份验证数据包: Negotiate
传递的服务: -
数据包名(仅限 NTLM): -
密钥长度: 0
---
使用者:
安全 ID: SYSTEM
帐户名称: DESKTOP-4BRTK34$
帐户域: WORKGROUP
登录 ID: 0x3E7
登录类型: 5
新登录:
安全 ID: SYSTEM
帐户名称: SYSTEM
帐户域: NT AUTHORITY
登录 ID: 0x3E7
事件顺序: 1/1
组成员身份:
BUILTIN\Administrators
Everyone
NT AUTHORITY\Authenticated Users
Mandatory Label\System Mandatory Level
---
为新登录分配了特殊权限。
使用者:
安全 ID: SYSTEM
帐户名: SYSTEM
帐户域: NT AUTHORITY
登录 ID: 0x3E7
特权: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege
---
有一次登录发现所有打开的word文档突然变成一半的宽度排列,另一次是登录后发现XSHELL里面的登录站点全被删除了。
事件有4624,4627,4672