4673(S, F): вызвана привилегированная служба.
Подкатегории: Аудит использования конфиденциальных привилегий и аудит использования не конфиденциальных привилегий
Описание события:
Это событие возникает при попытке выполнить привилегированные операции системной службы.
Это событие возникает, например, при использовании привилегии SeSystemtimePrivilege, SeCreateGlobalPrivilege или SeTcbPrivilege .
Событие сбоя возникает при сбое попытки вызова службы.
Примечание. Рекомендации приведены в разделе Рекомендации по мониторингу безопасности для этого события.
XML события:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4673</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>13056</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2015-10-09T00:37:36.434836600Z" />
<EventRecordID>1099777</EventRecordID>
<Correlation />
<Execution ProcessID="496" ThreadID="504" />
<Channel>Security</Channel>
<Computer>DC01.contoso.local</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">DC01$</Data>
<Data Name="SubjectDomainName">CONTOSO</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="ObjectServer">NT Local Security Authority / Authentication Service</Data>
<Data Name="Service">LsaRegisterLogonProcess()</Data>
<Data Name="PrivilegeList">SeTcbPrivilege</Data>
<Data Name="ProcessId">0x1f0</Data>
<Data Name="ProcessName">C:\\Windows\\System32\\lsass.exe</Data>
</EventData>
</Event>
Необходимые роли сервера: нет.
Минимальная версия ОС: Windows Server 2008, Windows Vista.
Версии события: 0.
Описания полей:
Тема:
- Идентификатор безопасности [Type = SID]: идентификатор безопасности учетной записи, запрашивающей привилегированную операцию. Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные.
Примечание. . Идентификатор безопасности (SID) представляет собой строковое значение переменной длины, которое используется для идентификации доверенного лица (субъекта безопасности). Каждая учетная запись имеет уникальный идентификатор безопасности, выданный центром сертификации, таким как контроллер домена Active Directory, который хранится в базе данных безопасности. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности этого пользователя из базы данных и помещает ее в маркер доступа этого пользователя. Система использует идентификатор безопасности в маркере доступа для идентификации пользователя во всех последующих операциях с Безопасностью Windows. Если идентификатор SID использовался как уникальный идентификатор для пользователя или группы, он не может использоваться повторно для идентификации другого пользователя или группы. Дополнительные сведения о SID см. в разделе Идентификаторы безопасности.
Имя учетной записи [Type = UnicodeString]: имя учетной записи, запрашивающей привилегированную операцию.
Account Domain [Type = UnicodeString]: домен субъекта или имя компьютера. Форматы различаются и включают в себя следующее:
Пример имени домена NETBIOS: CONTOSO
Полное имя домена в нижнем регистре: contoso.local
Полное имя домена в верхнем регистре: CONTOSO.LOCAL
Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, значение этого поля равно "NT AUTHORITY".
Для учетных записей локальных пользователей это поле будет содержать имя компьютера или устройства, к которым принадлежит эта учетная запись, например: "Win81".
Logon ID [Type = HexInt64]: шестнадцатеричное значение, которое может помочь сопоставить это событие с недавними событиями содержащими тот же идентификатор входа, например: “4624: Учетная запись успешно вошла в систему.”
Служба:
Server [Type = UnicodeString]: содержит имя подсистемы Windows, вызывающей подпрограмму. Ниже приведены примеры подсистем.
Security
Диспетчер учетных записей безопасности
Локальный центр безопасности NT / служба проверки подлинности
Диспетчер SC
Модуль Win32 SystemShutdown
Lsa
Имя службы [Type = UnicodeString] [Optional]: предоставляет имя службы или функции привилегированной подсистемы. Например, "RESET RUNTIME LOCAL SECURITY" может быть указан службой локального центра безопасности , используемой для обновления локальной базы данных политики безопасности, или LsaRegisterLogonProcess() может быть указана локальной службой безопасности или службой проверки подлинности NT , используемой для регистрации нового процесса входа.
Процесс:
Идентификатор процесса [Type = Pointer]: шестнадцатеричный идентификатор процесса, который пытался вызвать привилегированную службу. ИД процесса (PID) — это число, которое операционная система использует для идентификации активного процесса уникальным образом. Узнать значение PID для определенного процесса можно, например, в диспетчере задач (вкладка "Подробности", столбец "ИД процесса"):
Если преобразовать шестнадцатеричное значение в десятичное, можно сравнить его со значениями в диспетчере задач.
Кроме того, можно сопоставить этот ИД процесса с ИД процесса в других событиях, например в событии "4688: создан процесс" Информация о процессе\ ИД нового процесса.
Имя процесса [Type = UnicodeString]: полный путь и имя исполняемого файла для процесса.
Сведения о запросе службы:
- Privileges [Type = UnicodeString]: список запрошенных привилегий пользователей. Возможные привилегии зависят от подкатегории : аудит использования не конфиденциальных привилегий или аудит использования конфиденциальных привилегий, как показано в следующих двух таблицах:
| Подкатегория события | Имя привилегии: Имя групповая политика прав пользователя |
Описание |
|---|---|---|
| Аудит использования привилегий, не затрагивающих конфиденциальные данные | SeChangeNotifyPrivilege: Обход перекрестной проверки |
Требуется для получения уведомлений об изменениях в файлах или каталогах. Эта привилегия также заставляет систему пропускать все проверки доступа обхода. С этой привилегией пользователь может перемещаться по деревьям каталогов, даже если у пользователя могут не быть разрешений на пройденный каталог. Эта привилегия не позволяет пользователю выводить список содержимого каталога, только для обхода каталогов. |
| Аудит использования привилегий, не затрагивающих конфиденциальные данные | SeCreateGlobalPrivilege: Создание глобальных объектов |
Требуется для создания именованных объектов сопоставления файлов в глобальном пространстве имен во время сеансов служб терминалов. |
| Аудит использования привилегий, не затрагивающих конфиденциальные данные | SeCreatePagefilePrivilege: Создание файла подкачки |
С помощью этой привилегии пользователь может создавать и изменять размер файла подкачки. |
| Аудит использования привилегий, не затрагивающих конфиденциальные данные | SeCreatePermanentPrivilege: Создание постоянных общих объектов |
Требуется для создания постоянного объекта. Эта привилегия полезна для компонентов режима ядра, расширяющих пространство имен объекта. Компоненты, работающие в режиме ядра, уже имеют эту привилегию по своей природе; Не обязательно назначать им привилегию. |
| Аудит использования привилегий, не затрагивающих конфиденциальные данные | SeCreateSymbolicLinkPrivilege: Создание символических ссылок |
Требуется для создания символьной ссылки. |
| Аудит использования привилегий, не затрагивающих конфиденциальные данные | SeIncreaseBasePriorityPrivilege: Увеличение приоритета выполнения |
Требуется для увеличения базового приоритета процесса. С этой привилегией пользователь может использовать процесс с доступом к свойству Write для другого процесса, чтобы увеличить приоритет выполнения, назначенный другому процессу. Пользователь с этой привилегией может изменить приоритет планирования процесса с помощью пользовательского интерфейса диспетчера задач. |
| Аудит использования привилегий, не затрагивающих конфиденциальные данные | SeIncreaseQuotaPrivilege: Настройка квот памяти для процесса |
Требуется для увеличения квоты, назначенной процессу. С помощью этой привилегии пользователь может изменить максимальный объем памяти, который может быть использован процессом. |
| Аудит использования привилегий, не затрагивающих конфиденциальные данные | SeIncreaseWorkingSetPrivilege: Увеличение рабочего набора процесса |
Требуется для выделения большего объема памяти для приложений, которые выполняются в контексте пользователей. |
| Аудит использования привилегий, не затрагивающих конфиденциальные данные | SeLockMemoryPrivilege: Блокировка страниц в памяти |
Требуется для блокировки физических страниц в памяти. С этой привилегией пользователь может использовать процесс для хранения данных в физической памяти, что предотвращает разбиение данных на страницы в виртуальную память на диске. Использование этой привилегии может значительно повлиять на производительность системы, уменьшая объем доступной памяти случайного доступа (ОЗУ). |
| Аудит использования привилегий, не затрагивающих конфиденциальные данные | SeMachineAccountPrivilege: Добавление рабочих станций к домену |
С помощью этой привилегии пользователь может создать учетную запись компьютера. Эта привилегия действительна только на контроллерах домена. |
| Аудит использования привилегий, не затрагивающих конфиденциальные данные | SeManageVolumePrivilege: Выполнение задач по обслуживанию томов |
Требуется для выполнения задач обслуживания на томе, например удаленной дефрагментации. |
| Аудит использования привилегий, не затрагивающих конфиденциальные данные | SeProfileSingleProcessPrivilege: Профилирование одного процесса |
Требуется для сбора сведений профилирования для одного процесса. С этой привилегией пользователь может использовать средства мониторинга производительности для мониторинга производительности несистемных процессов. |
| Аудит использования привилегий, не затрагивающих конфиденциальные данные | SeRelabelPrivilege: Изменение метки объекта |
Требуется для изменения обязательного уровня целостности объекта. |
| Аудит использования привилегий, не затрагивающих конфиденциальные данные | SeRemoteShutdownPrivilege: Принудительное удаленное завершение работы |
Требуется для завершения работы системы с помощью сетевого запроса. |
| Аудит использования привилегий, не затрагивающих конфиденциальные данные | SeShutdownPrivilege: Завершение работы системы |
Требуется для завершения работы локальной системы. |
| Аудит использования привилегий, не затрагивающих конфиденциальные данные | SeSyncAgentPrivilege: Синхронизация данных службы каталогов |
Эта привилегия позволяет владельцу считывать все объекты и свойства в каталоге независимо от защиты объектов и свойств. По умолчанию он назначается учетным записям администратора и LocalSystem на контроллерах домена. С помощью этой привилегии пользователь может синхронизировать все данные службы каталогов. Это также называется синхронизацией Active Directory. |
| Аудит использования привилегий, не затрагивающих конфиденциальные данные | SeSystemProfilePrivilege: Профилирование производительности системы |
Требуется для сбора сведений профилирования для всей системы. С этой привилегией пользователь может использовать средства мониторинга производительности для мониторинга производительности системных процессов. |
| Аудит использования привилегий, не затрагивающих конфиденциальные данные | SeSystemtimePrivilege: Изменение системного времени |
Требуется для изменения системного времени. С помощью этой привилегии пользователь может изменить время и дату на внутренних часах компьютера. Пользователи, которым назначено это право, могут повлиять на внешний вид журналов событий. Если системное время изменено, регистрируемые события будут отражать это новое время, а не фактическое время возникновения событий. |
| Аудит использования привилегий, не затрагивающих конфиденциальные данные | SeTimeZonePrivilege: Изменение часового пояса |
Требуется для настройки часового пояса, связанного с внутренними часами компьютера. |
| Аудит использования привилегий, не затрагивающих конфиденциальные данные | SeTrustedCredManAccessPrivilege: Доступ к диспетчеру учетных данных от имени доверенного вызывающего |
Требуется для доступа к Диспетчеру учетных данных в качестве доверенного вызывающего. |
| Аудит использования привилегий, не затрагивающих конфиденциальные данные | SeUndockPrivilege: Отключение компьютера от стыковочного узла |
Требуется для отстыковки ноутбука. С помощью этой привилегии пользователь может открепить портативный компьютер от док-станции без входа в систему. |
| Подкатегория события | Имя привилегии: Имя групповая политика прав пользователя |
Описание |
|---|---|---|
| Аудит использования привилегий, затрагивающих конфиденциальные данные | SeAssignPrimaryTokenPrivilege: Замена маркера уровня процесса |
Требуется для назначения основного маркера процесса. С помощью этой привилегии пользователь может инициировать процесс замены маркера по умолчанию, связанного с запущенным подпроцессом. |
| Аудит использования привилегий, затрагивающих конфиденциальные данные | SeAuditPrivilege: Создание аудитов безопасности |
С помощью этой привилегии пользователь может добавлять записи в журнал безопасности. |
| Аудит использования привилегий, затрагивающих конфиденциальные данные | SeCreateTokenPrivilege: Создание маркерного объекта |
Позволяет процессу создать маркер, который затем он может использовать для получения доступа к любым локальным ресурсам, когда процесс использует NtCreateToken() или другие API создания маркеров. Если для процесса требуется эта привилегия, рекомендуется использовать учетную запись LocalSystem (которая уже включает эту привилегию), а не создавать отдельную учетную запись пользователя и назначать ей эту привилегию. |
| Аудит использования привилегий, затрагивающих конфиденциальные данные | SeDebugPrivilege: Отладка программ |
Требуется для отладки и настройки памяти процесса, принадлежащей другой учетной записи. С этой привилегией пользователь может подключить отладчик к любому процессу или ядру. Разработчикам, которые выполняют отладку собственных приложений, это право пользователя не требуется. Разработчики, которые выполняют отладку новых системных компонентов, нуждаются в этом праве пользователя. Это право пользователя обеспечивает полный доступ к конфиденциальным и критически важным компонентам операционной системы. |
| Аудит использования привилегий, затрагивающих конфиденциальные данные | SeImpersonatePrivilege: Имитация клиента после проверки подлинности |
С помощью этой привилегии пользователь может олицетворять другие учетные записи. |
| Аудит использования привилегий, затрагивающих конфиденциальные данные | SeLoadDriverPrivilege: Загрузка и выгрузка драйверов устройств |
Требуется для загрузки или выгрузки драйвера устройства. С помощью этой привилегии пользователь может динамически загружать и выгружать драйверы устройств или другой код в режиме ядра. Это право пользователя не применяется к драйверам устройств Plug and Play. |
| Аудит использования привилегий, затрагивающих конфиденциальные данные | SeLockMemoryPrivilege: Блокировка страниц в памяти |
Требуется для блокировки физических страниц в памяти. С этой привилегией пользователь может использовать процесс для хранения данных в физической памяти, что предотвращает разбиение данных на страницы в виртуальную память на диске. Использование этой привилегии может значительно повлиять на производительность системы, уменьшая объем доступной памяти случайного доступа (ОЗУ). |
| Аудит использования привилегий, затрагивающих конфиденциальные данные | SeSystemEnvironmentPrivilege: Изменение параметров среды изготовителя |
Требуется для изменения неизменяемого ОЗУ систем, которые используют этот тип памяти для хранения сведений о конфигурации. |
| Аудит использования привилегий, затрагивающих конфиденциальные данные | SeTcbPrivilege: Работа в режиме операционной системы |
Эта привилегия определяет своего владельца как часть базы доверенного компьютера. Это право пользователя позволяет процессу олицетворить любого пользователя без проверки подлинности. Таким образом, процесс может получить доступ к тем же локальным ресурсам, что и этот пользователь. |
| Аудит использования привилегий, затрагивающих конфиденциальные данные | SeEnableDelegationPrivilege: Разрешение доверия к учетным записям компьютеров и пользователей при делегировании |
Требуется для пометки учетных записей пользователей и компьютеров как доверенных для делегирования. С помощью этой привилегии пользователь может задать параметр Trusted for Delegation для объекта пользователя или компьютера. Пользователь или объект, которому предоставлена эта привилегия, должен иметь доступ на запись к флагам управления учетными записями на объекте пользователя или компьютера. Серверный процесс, выполняющийся на компьютере (или в контексте пользователя), который является доверенным для делегирования, может получить доступ к ресурсам на другом компьютере с помощью делегированных учетных данных клиента до тех пор, пока для учетной записи клиента не установлен флаг управления учетной записью . |
Рекомендации по контролю безопасности
Для 4673(S, F): была вызвана привилегированная служба.
Важно. Для получения сведений об этом событии см. также Приложение A: Рекомендации по мониторингу безопасности для многих событий аудита.
Отслеживайте это событие, в котором "Subject\Security ID" не является одним из известных субъектов безопасности: LOCAL SYSTEM, NETWORK SERVICE, LOCAL SERVICE, и где "Subject\Security ID" не является учетной записью администратора, которая, как ожидается, будет иметь перечисленные привилегии. Дополнительные сведения см. в разделе Аудит использования конфиденциальных привилегий и Аудит использования не конфиденциальных привилегий .
Если необходимо отслеживать события, связанные с определенными подсистемами Windows ("Service\Server"), например NT Local Security Authority / Authentication Service или Security Account Manager, отслеживайте это событие для соответствующего "Service\Server".
Если необходимо отслеживать события, связанные с определенными службами или функциями безопасности Windows ("Service\Service Name"), например LsaRegisterLogonProcess(), отслеживайте это событие для соответствующего "Service\Service Name".
Если у вас есть предварительно определенное "Имя процесса" для процесса, сообщаемого в этом событии, отслеживайте все события с именем процесса, не равным заданному значению.
Вы можете отслеживать, находится ли "Имя процесса" не в стандартной папке (например, не в System32 или Program Files) или в папке с ограниченным доступом (например, Временные файлы Интернета).
Если у вас есть предопределенный список ограниченных подстрок или слов в именах процессов (например, "mimikatz" или "cain.exe"), проверьте наличие этих подстрок в разделе "Имя процесса".
Если для конкретного "Subject\Security ID" существует определенный список разрешенных привилегий, отслеживайте значение "Привилегии", которые он не сможет использовать.
Если у вас есть список определенных прав пользователя, которые никогда не следует использовать или использовать только несколькими учетными записями (например, SeDebugPrivilege), активируйте оповещение для этих "Привилегий".
Если у вас есть список конкретных прав пользователей, о каждом использовании которых необходимо сообщать или отслеживать (например, SeRemoteShutdownPrivilege), активируйте оповещение для этих "Привилегий".
Обратная связь
Отправить и просмотреть отзыв по