special logon что это

Special logon что это

Этот форум закрыт. Спасибо за участие!

Лучший отвечающий

Вопрос

Просматривая журнал событий Windows 2008 Server Standard, увидели, что есть иногда какие-то «входы» ночью в 00-13 или 03-00.

Просто в это время офис закрыт, никто не работает.

Вот скрин одного такого входа:

Ответы

Тип входа: 5 означает, что это вход службы.

Тип 2 это локальный вход

Тип 3 это вход по сети.

Все ответы

Прокрутите чуть ниже, там будет указан «тип входа»

Скорее всего запускается задача, скрипт и так далее.

Может дефрагментация диска, а может и вирусы.

аutobuh, думаю, не стоит волноваться. Все у Вас нормально. Это стандартные ивенты.

От имени учетной записи System работают некоторые службы. Посмотрите в планировщике, наверняка на 0:00 и 3:00 назначены какие-то задания, типа бэкапа или обновления чего-либо.

От имени учетной записи System работают некоторые службы. Посмотрите в планировщике, наверняка на 0:00 и 3:00 назначены какие-то задания, типа бэкапа или обновления чего-либо.

Там только одна наша обработка стоит на 12-30

Прокрутите чуть ниже, там будет указан «тип входа»

Скорее всего запускается задача, скрипт и так далее.

Может дефрагментация диска, а может и вирусы.

Имя журнала: Security
Подача: Microsoft-Windows-Security-Auditing
Дата: 09.06.2014 0:19:29
Код события: 4672
Категория задачи: Специальный вход
Уровень: Сведения
Ключевые слова: Аудит выполнен успешно
Пользователь: Н/Д
Компьютер: Server
Описание:
Новому сеансу входа назначены специальные привилегии.
Субъект:
ИД безопасности: S-1-5-18
Имя учетной записи: SYSTEM
Домен учетной записи: NT AUTHORITY
Код входа: 0x3e7
Тип входа: 5
Привилегии: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege

Источник

Аудит специального входа

Специальный логос аудита определяет, создает ли операционная система события аудита при специальных обстоятельствах входа (или входа).

Эта подкатегория позволяет проверять события, созданные специальными логотипами, такими как следующие:

Использование специального логотипа, который является логотипом, который имеет привилегии, эквивалентные администратору, и может использоваться для повышения уровня процесса.

Логотип участника специальной группы. Специальные группы позволяют проверять события, созданные при входе члена определенной группы в сеть. В реестре можно настроить список идентификаторов групповой безопасности (SID). Если какой-либо из этих СИД добавляется в маркер во время логотипа и включена подкатегория, событие регистрируется.

Том события:

Низкий уровень клиентского компьютера.

Medium на контроллерах домена или сетевых серверах.

Список событий:

4964(S): Для нового логотипа назначены специальные группы.

4672(S): Специальные привилегии, присвоенные новому логотипу.

Источник

Special logon что это

This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.

Answered by:

Question

I have a domain controller running Windows 2008 R2 (computer name is hyperv, domain name is cdm.local).

This machine/network is only used by 3 people at the most.

Every couple seconds my Security log shows:

4672 Special Logon
4624 Logon
4634 Logoff

I’ve read that I can turn off this logging, but this is normal?

Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 7/23/2010 9:53:47 AM
Event ID: 4672
Task Category: Special Logon
Level: Information
Keywords: Audit Success
User: N/A
Computer: HyperV.cdm.local
Description:
Special privileges assigned to new logon.

Subject:
Security ID: SYSTEM
Account Name: HYPERV$
Account Domain: CDM
Logon ID: 0x4403fd

Privileges: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege
Event Xml:

4672
0
0
12548
0
0x8020000000000000

2207502

Security
HyperV.cdm.local

S-1-5-18
HYPERV$
CDM
0x4403fd
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege

Answers

This is due to SYSTEM account which every couple of seconds try to logon. It is perfectly normal. So, don’t worry.

Please remember to click “Mark as Answer” on the post that helps you, and to click “Unmark as Answer” if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

Thanks for the post.

Please understand that the event 4672 lets you know whenever an account assigned any «administrator equivalent» user rights logs on. For instance you will see event 4672 in close proximity to logon events 4624 for administrators since administrators have most of these admin-equivalent rights.

This is a useful right to detecting any «super user» account logons. Of course this right is logged for any server or applications accounts logging on as a batch job (scheduled task) or system service.

Please remember to click “Mark as Answer” on the post that helps you, and to click “Unmark as Answer” if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

All replies

Thanks for the post.

Please understand that the event 4672 lets you know whenever an account assigned any «administrator equivalent» user rights logs on. For instance you will see event 4672 in close proximity to logon events 4624 for administrators since administrators have most of these admin-equivalent rights.

This is a useful right to detecting any «super user» account logons. Of course this right is logged for any server or applications accounts logging on as a batch job (scheduled task) or system service.

Please remember to click “Mark as Answer” on the post that helps you, and to click “Unmark as Answer” if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

This is due to SYSTEM account which every couple of seconds try to logon. It is perfectly normal. So, don’t worry.

Please remember to click “Mark as Answer” on the post that helps you, and to click “Unmark as Answer” if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

This is due to SYSTEM account which every couple of seconds try to logon. It is perfectly normal. So, don’t worry.

Please remember to click “Mark as Answer” on the post that helps you, and to click “Unmark as Answer” if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

Does this type of error cause the broadband to cut connection? I have a lot of security reports- both failures and successes- that appear to coincide with reboots of my modem. As usual theres never any warning unless youre watching Event Viewer or you watch your broadband lights mysteriously vanish. Once is bad enough, but this is happenning every hour and a half on average, and its beginning to get annoying.

Thank you very much for your explanation. I totally agree with you, it is a system that alerts you when someone else wants to become a ‘super user’. I like that also. Only that in this occasion the one willing to become a super user was non other than myself. Yes. The super administrator and all mighty doer around this machine. Nobody else touches it.

The event ID: 4672 caused a massive crash on my PC forcing me to perform a system recovery to bring it back.

Other than that and wishing you well,

This is due to SYSTEM account which every couple of seconds try to logon. It is perfectly normal. So, don’t worry.

Please remember to click “Mark as Answer” on the post that helps you, and to click “Unmark as Answer” if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

Does this type of error cause the broadband to cut connection? I have a lot of security reports- both failures and successes- that appear to coincide with reboots of my modem. As usual theres never any warning unless youre watching Event Viewer or you watch your broadband lights mysteriously vanish. Once is bad enough, but this is happenning every hour and a half on average, and its beginning to get annoying.

In my case i have looked in Event Viewer after my Wi-Fi connection interrupted and i find similar events sometimes in Google Chrome say Network Changed, i scanned my Router with ESET Antivirus and it found a vulnerability.
Vulnerability name: CVE-2012-5687
Vulnerability type: Bad access rights

I then contacted the manufacturer of my router asking for a firmware update because it was not available on their site and they say that my router is safe, but i not believe.

My conclusion about this events is that someone is accessing my PC to spy on me.

Источник

4672(S): Специальные привилегии, присвоенные новому логотипу.

Описание события:

Это событие создает для новых логотипов учетных записей, если какие-либо из следующих конфиденциальных привилегий назначены на новый сеанс логотипа:

SeTcbPrivilege — act как часть операционной системы

SeBackupPrivilege — архивация файлов и каталогов

SeCreateTokenPrivilege — создание объекта маркера

SeDebugPrivilege — отлаживка программ

SeEnableDelegationPrivilege — позволяет доверять учетным записям компьютера и пользователей для делегирования

SeAuditPrivilege — создание аудита безопасности

SeImpersonatePrivilege — выдают себя за клиента после проверки подлинности

SeLoadDriverPrivilege — драйверы загрузки и разгрузки устройств

SeSecurityPrivilege — управление журналом аудита и безопасности

SeSystemEnvironmentPrivilege — изменение значений среды прошивки

SeAssignPrimaryTokenPrivilege — замена маркера уровня процессов

SeRestorePrivilege — восстановление файлов и каталогов,

SeTakeOwnershipPrivilege — владение файлами или другими объектами

Как правило, многие из этих событий можно увидеть в журнале событий, так как каждый логотип учетной записи SYSTEM (Local System) запускает это событие.

Примечание. Рекомендации приведены в разделе Рекомендации по мониторингу безопасности для этого события.

XML события:

Необходимые роли сервера: нет.

Минимальная версия ОС: Windows Server 2008, Windows Vista.

Версии события: 0.

Описания полей:

Тема:

Имя учетной записи [Type = UnicodeString]: имя учетной записи, которой были назначены специальные привилегии.

Account Domain [Type = UnicodeString]: домен субъекта или имя компьютера. Форматы различаются и включают в себя следующее:

Пример имени домена NETBIOS: CONTOSO

Полное имя домена в нижнем регистре: contoso.local

Полное имя домена в верхнем регистре: CONTOSO.LOCAL

Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, значение этого поля равно «NT AUTHORITY».

Для учетных записей локальных пользователей это поле будет содержать имя компьютера или устройства, к которым принадлежит эта учетная запись, например: «Win81».

Logon ID [Type = HexInt64]: шестнадцатеричное значение, которое может помочь сопоставить это событие с недавними событиями содержащими тот же идентификатор входа, например: “4624: Учетная запись успешно вошла в систему.”

Privileges [Type = UnicodeString]: список конфиденциальных привилегий, присвоенных новому логотипу. В следующей таблице содержится список возможных привилегий для этого события:

Рекомендации по контролю безопасности

Для 4672 (S): Специальные привилегии, присвоенные новому логотипу.

Монитор этого события, в котором «Subject\Security ID» не является одним из этих известных принципов безопасности: LOCAL SYSTEM, NETWORK SERVICE, LOCAL SERVICE, и где «Subject\Security ID» не является административной учетной записью, которая, как ожидается, будет иметь перечисленные привилегии. **

Если у вас есть список определенных привилегий, которые никогда не должны предоставляться или предоставляться только нескольким учетным записям (например, SeDebugPrivilege), используйте это событие для мониторинга этих «привилегий».

Источник