请问事件ID4672特殊登录是什么意思?

cai 0 信誉分
2024-11-09T09:11:27.36+00:00

1)我的win10系统,查看系统日志,每次交互登录的日志记录后,都有一条特殊登录的记录,是为什么?

事件 ID: 4672

任务类别: Special Logon

级别: 信息

关键字: 审核成功

用户: 暂缺

计算机: DESKTOP-C25OTLE

描述:

为新登录分配了特殊权限。

使用者:

安全 ID:		SYSTEM

帐户名:		SYSTEM

帐户域:		NT AUTHORITY

登录 ID:		0x3E7

2)还有一个事件 ID: 4624,它的 登录类型: 5

受限制的管理员模式:	-

虚拟帐户:		否

提升的令牌:		是

模拟级别: 模拟

新登录:

安全 ID:		SYSTEM

帐户名称:		SYSTEM

帐户域:		NT AUTHORITY

登录 ID:		0x3E7

链接的登录 ID:		0x0

网络帐户名称:	-

网络帐户域:	-

登录 GUID:		{00000000-0000-0000-0000-000000000000}

这是什么意思呢?为什么我用自己的账号登录系统后,系统日志里会出现system账号登录的记录,而且登录类型是5

Windows 10
Windows 10
在个人计算机和平板电脑上运行的 Microsoft 操作系统。
162 个问题
0 个注释 无注释
{count} 票

1 个答案

排序依据: 非常有帮助
  1. Ian Xue 38,296 信誉分 Microsoft 供应商
    2024-11-12T01:19:24.3+00:00

    您好,

    当本地的System账户登录时,会自动触发4672事件。而4624事件则是在账户登录成功,创建会话时产生。具体可以参考下面的链接。

    https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/event-4672

    https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/event-4624

    至于System账户,这是操作系统本身以及系统下的各个服务使用的账户。登陆类型5表示是系统服务。具体的可以参考下面的链接。

    https://learn.microsoft.com/en-us/windows/security/identity-protection/access-control/local-accounts#system

    https://learn.microsoft.com/en-us/windows-server/identity/securing-privileged-access/reference-tools-logon-types

    祝好

    Ian Xue


    如果回答是有帮助的,请点击“接受答案”。

    0 个注释 无注释

你的答案

问题作者可以将答案标记为“接受的答案”,这有助于用户了解已解决作者问题的答案。