none
window server 2008 R2安全登陆日志异常 RRS feed

  • 问题

  • 最近系统“事件日志”--“安全”经常有这个“特殊登陆”,一天24小时隔3-4分钟就有一条日志“特殊登陆”

    不知是什么原因导致得,,麻烦大家看一下是什么原因,是否安全,如何排查,谢谢

    日志内容如下:

    事件ID 4672   4624

    登录分配了特殊权限


    主题:
    安全 ID: SYSTEM
    帐户名: SYSTEM
    帐户域: NT AUTHORITY
    登录 ID: 0x3e7

    特权: SeAssignPrimaryTokenPrivilege
    SeTcbPrivilege
    SeSecurityPrivilege
    SeTakeOwnershipPrivilege
    SeLoadDriverPrivilege
    SeBackupPrivilege
    SeRestorePrivilege
    SeDebugPrivilege
    SeAuditPrivilege
    SeSystemEnvironmentPrivilege
    SeImpersonatePrivilege




    2015年8月21日 8:39

答案

  • 您好,

    这个事件记录的是任何有管理员权限的用户登录的事件。如果您用管理员登录,通常4674和4624都会出现,由于具有对应的管理员权限(Admin-equivalent rights)。其实这个事件也可以说是检测任何“super user"的登录。登录任何服务器或者应用程序或者windows服务需要用到对应的管理员权限,这个对应的事件都会被记录下来。另外, 您可以再查看一下是否设置过相对应的审核策略,设置过的话,这个事件也会被记录下来。

    https://technet.microsoft.com/zh-cn/library/dd772724(v=ws.10).aspx

    Best Regards,

    Mary Dong


    Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2015年8月24日 7:29
    版主

全部回复

  • 您好,

    这个事件记录的是任何有管理员权限的用户登录的事件。如果您用管理员登录,通常4674和4624都会出现,由于具有对应的管理员权限(Admin-equivalent rights)。其实这个事件也可以说是检测任何“super user"的登录。登录任何服务器或者应用程序或者windows服务需要用到对应的管理员权限,这个对应的事件都会被记录下来。另外, 您可以再查看一下是否设置过相对应的审核策略,设置过的话,这个事件也会被记录下来。

    https://technet.microsoft.com/zh-cn/library/dd772724(v=ws.10).aspx

    Best Regards,

    Mary Dong


    Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2015年8月24日 7:29
    版主
  • 非常感谢
    2015年9月6日 7:08