4672(S): privilegios especiales asignados al nuevo inicio de sesión.

Event 4672 illustration
Subcategoría:   Auditar el inicio de sesión especial

Descripción del evento:

Este evento genera para los inicios de sesión de nueva cuenta si se asigna alguno de los siguientes privilegios confidenciales a la nueva sesión de inicio de sesión:

  • SeTcbPrivilege: actuar como parte del sistema operativo

  • SeBackupPrivilege: copia de seguridad de archivos y directorios

  • SeCreateTokenPrivilege: crear un objeto token

  • SeDebugPrivilege: depurar programas

  • SeEnableDelegationPrivilege: permitir que las cuentas de equipo y de usuario sean de confianza para la delegación

  • SeAuditPrivilege: generar auditorías de seguridad

  • SeImpersonatePrivilege: suplantar un cliente después de la autenticación

  • SeLoadDriverPrivilege: cargar y descargar controladores de dispositivos

  • SeSecurityPrivilege: administrar el registro de auditoría y seguridad

  • SeSystemEnvironmentPrivilege: modificar los valores del entorno de firmware

  • SeAssignPrimaryTokenPrivilege: reemplazar un token de nivel de proceso

  • SeRestorePrivilege: restaurar archivos y directorios,

  • SeTakeOwnershipPrivilege: tomar posesión de archivos u otros objetos

Normalmente verá muchos de estos eventos en el registro de eventos, ya que cada inicio de sesión de la cuenta system (sistema local) desencadena este evento.

Nota  Para obtener recomendaciones, consulte Recomendaciones de supervisión de seguridad para este evento.


XML del evento:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>4672</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>12548</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-09-11T01:10:57.091809600Z" /> 
 <EventRecordID>237692</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="504" ThreadID="524" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="SubjectUserSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data> 
 <Data Name="SubjectUserName">dadmin</Data> 
 <Data Name="SubjectDomainName">CONTOSO</Data> 
 <Data Name="SubjectLogonId">0x671101</Data> 
 <Data Name="PrivilegeList">SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeEnableDelegationPrivilege SeImpersonatePrivilege</Data> 
 </EventData>
 </Event>

Roles de servidor necesarios: Ninguno.

Versión mínima del sistema operativo: Windows Server 2008, Windows Vista.

Versiones de eventos: 0.

Descripciones del campo:

Asunto:

  • Id. de seguridad [Type = SID]: SID de la cuenta a la que se asignaron privilegios especiales. El Visor de eventos intenta automáticamente resolver los SID y muestra el nombre de la cuenta. Si no se puede resolver el SID, verá los datos de origen en el evento.

Nota  Un identificador de seguridad (SID) es un valor único de longitud variable que se usa para identificar un elemento de confianza (entidad de seguridad). Cada cuenta tiene un SID único emitido por una autoridad, como un controlador de dominio de Active Directory, que se almacena en una base de datos de seguridad. Cada vez que un usuario inicia sesión, el sistema recupera el SID de ese usuario de la base de datos y lo coloca en el token de acceso del usuario. El sistema utiliza el SID del token de acceso para identificar al usuario en todas las interacciones posteriores con la seguridad de Windows. Una vez que se utiliza un SID como identificador único para un usuario o grupo, no se puede volver a usar para identificar a otro usuario o grupo. Para más información sobre los SID, consulte Identificadores de seguridad.

  • Nombre de cuenta [Type = UnicodeString]: el nombre de la cuenta a la que se asignaron privilegios especiales.

  • Dominio de cuenta [Tipo = UnicodeString]: dominio o nombre del equipo del sujeto. Los formatos pueden variar e incluyen lo siguiente:

    • Ejemplo de nombre NETBIOS de dominio: CONTOSO

    • Nombre de dominio completo en minúsculas: contoso.local

    • Nombre de dominio completo en mayúsculas: CONTOSO.LOCAL

    • En el caso de algunas entidades de seguridad conocidas, como SERVICIO LOCAL o INICIO DE SESIÓN ANÓNIMO, el valor de este campo es "NT AUTHORITY".

    • En el caso de las cuentas de usuario locales, este campo contendrá el nombre del equipo o dispositivo al que pertenece esta cuenta, por ejemplo: "Win81".

  • Id. de inicio de sesión [Tipo = HexInt64 ]: valor hexadecimal que puede ayudarle a relacionar este evento con eventos recientes que pueden contener el mismo Id. de inicio de sesión, por ejemplo, "4624: Una cuenta ha iniciado sesión correctamente".

Privilegios [Type = UnicodeString]: la lista de privilegios confidenciales, asignada al nuevo inicio de sesión. La tabla siguiente contiene la lista de posibles privilegios para este evento:

Nombre de privilegio Nombre de directiva de grupo derecho de usuario Descripción
SeAssignPrimaryTokenPrivilege Reemplazar un token de nivel de proceso Necesario para asignar el token principal de un proceso.
Con este privilegio, el usuario puede iniciar un proceso para reemplazar el token predeterminado asociado con un subproceso iniciado.
SeAuditPrivilege Generar auditorías de seguridad Con este privilegio, el usuario puede agregar entradas al registro de seguridad.
SeBackupPrivilege Hacer copias de seguridad de archivos y directorios - Necesario para realizar operaciones de copia de seguridad.
Con este privilegio, el usuario puede omitir los permisos de archivo y directorio, registro y otros objetos persistentes con el fin de realizar una copia de seguridad del sistema.
Este privilegio hace que el sistema conceda todo el control de acceso de lectura a cualquier archivo, independientemente de la lista de control de acceso (ACL) especificada para el archivo. Cualquier solicitud de acceso que no sea de lectura se sigue evaluando con la ACL. Si se mantiene este privilegio, se conceden los siguientes derechos de acceso:
READ_CONTROL
ACCESS_SYSTEM_SECURITY
FILE_GENERIC_READ
FILE_TRAVERSE
SeCreateTokenPrivilege Crear un objeto token Permite a un proceso crear un token que luego puede usar para obtener acceso a cualquier recurso local cuando el proceso usa NtCreateToken() u otras API de creación de tokens.
Cuando un proceso requiere este privilegio, se recomienda usar la cuenta LocalSystem (que ya incluye el privilegio), en lugar de crear una cuenta de usuario independiente y asignarle este privilegio.
SeDebugPrivilege Depurar programas Necesario para depurar y ajustar la memoria de un proceso propiedad de otra cuenta.
Con este privilegio, el usuario puede adjuntar un depurador a cualquier proceso o al kernel. Se recomienda que SeDebugPrivilege siempre se conceda a los administradores y solo a los administradores. Los desarrolladores que depuran sus propias aplicaciones no necesitan este derecho de usuario. Los desarrolladores que están depurando nuevos componentes del sistema necesitan este derecho de usuario. Este derecho de usuario proporciona acceso completo a componentes del sistema operativo confidenciales y críticos.
SeEnableDelegationPrivilege Habilitar confianza con las cuentas de usuario y de equipo para delegación Necesario para marcar las cuentas de usuario y equipo como de confianza para la delegación.
Con este privilegio, el usuario puede establecer la configuración Confianza para la ación de deleciónen un objeto de usuario o equipo.
El usuario u objeto al que se concede este privilegio debe tener acceso de escritura a las marcas de control de cuenta en el objeto de usuario o equipo. Un proceso de servidor que se ejecuta en un equipo (o en un contexto de usuario) de confianza para la delegación puede **** tener acceso a recursos en otro equipo con las credenciales delegadas de un cliente, siempre que la cuenta del cliente no tenga la cuenta no se puede delegar la marca de control de cuenta establecida.
SeImpersonatePrivilege Suplantar a un cliente tras la autenticación Con este privilegio, el usuario puede suplantar otras cuentas.
SeLoadDriverPrivilege Cargar y descargar controladores de dispositivo Necesario para cargar o descargar un controlador de dispositivo.
Con este privilegio, el usuario puede cargar y descargar dinámicamente controladores de dispositivo u otro código en modo kernel. Este derecho de usuario no se aplica a los controladores de dispositivos Plug and Play.
SeRestorePrivilege Restaurar archivos y directorios Necesario para realizar operaciones de restauración. Este privilegio hace que el sistema conceda todo el control de acceso de escritura a cualquier archivo, independientemente de la ACL especificada para el archivo. Cualquier solicitud de acceso que no sea de escritura se sigue evaluando con la ACL. Además, este privilegio permite establecer cualquier SID de grupo o usuario válido como propietario de un archivo. Si se mantiene este privilegio, se conceden los siguientes derechos de acceso:
WRITE_DAC
WRITE_OWNER
ACCESS_SYSTEM_SECURITY
FILE_GENERIC_WRITE
FILE_ADD_FILE
FILE_ADD_SUBDIRECTORY
DELETE
Con este privilegio, el usuario puede omitir los permisos de archivo, directorio, registro y otros objetos persistentes al restaurar archivos y directorios de copia de seguridad y determina qué usuarios pueden establecer cualquier entidad de seguridad válida como propietario de un objeto.
SeSecurityPrivilege Administrar registro de seguridad y auditoría Necesario para realizar una serie de funciones relacionadas con la seguridad, como controlar y ver eventos de auditoría en el registro de eventos de seguridad.
Con este privilegio, el usuario puede especificar opciones de auditoría de acceso a objetos para recursos individuales, como archivos, objetos de Active Directory y claves del Registro.
Un usuario con este privilegio también puede ver y borrar el registro de seguridad.
SeSystemEnvironmentPrivilege Modificar valores de entorno firmware Necesario para modificar la RAM no volátil de los sistemas que usan este tipo de memoria para almacenar información de configuración.
SeTakeOwnershipPrivilege Tomar posesión de archivos u otros objetos Necesario para tomar posesión de un objeto sin que se le conceda acceso discrecional. Este privilegio permite que el valor del propietario se establezca únicamente en los valores que el titular puede asignar legítimamente como propietario de un objeto.
Con este privilegio, el usuario puede tomar posesión de cualquier objeto protegible del sistema, incluidos objetos, archivos y carpetas de Active Directory, impresoras, claves del Registro, procesos y subprocesos.
SeTcbPrivilege Actuar como parte del sistema operativo Este privilegio identifica su titular como parte de la base de equipos de confianza.
Este derecho de usuario permite que un proceso suplante a cualquier usuario sin autenticación. Por lo tanto, el proceso puede obtener acceso a los mismos recursos locales que ese usuario.

Recomendaciones de supervisión de seguridad.

Para 4672(S): privilegios especiales asignados al nuevo inicio de sesión.

****   Importante   Para este evento, vea también Apéndice A: Recomendaciones de supervisión de seguridad para muchos eventos de auditoría.

  • Supervise este evento donde "Subject\Security ID" no es una de estas entidades de seguridad conocidas: SISTEMA LOCAL, SERVICIO DE RED, SERVICIO LOCAL y donde "Subject\Id. de seguridad " no es una cuenta administrativa que se espera que tenga los privilegios enumerados. **

  • Si tiene una lista de privilegios específicos que nunca deben concederse o concederse solo a unas pocas cuentas (por ejemplo, SeDebugPrivilege), use este evento para supervisar esos "privilegios".

  • Si es necesario supervisar cualquiera de los privilegios confidenciales de la Descripción del evento para este evento,busque esos privilegios específicos en el evento.