4626 (S) :用户/设备声明信息。
子类别: 审核用户/设备声明
事件说明:
此事件为新帐户登录生成,并包含与新登录会话关联的用户/设备声明。
如果用户/设备没有声明,则不会生成此事件。
对于计算机帐户登录,你还将看到“用户声明”字段中列出的设备声明。
通常会收到“4624:帐户已成功登录”,之后会在 主题、 登录类型 和 新建登录 部分中包含相同信息的 4626 事件。
此事件在 (目标计算机) 执行登录的计算机上生成。 例如,对于 Interactive 登录,它将是同一台计算机。
注意事项 有关建议,请参阅此事件的安全监控建议。
事件 XML:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4626</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12553</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2015-09-10T00:12:02.243396300Z" />
<EventRecordID>232648</EventRecordID>
<Correlation />
<Execution ProcessID="516" ThreadID="1092" />
<Channel>Security</Channel>
<Computer>DC01.contoso.local</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-5-21-3457937927-2839227994-823803824-1104</Data>
<Data Name="TargetUserName">dadmin</Data>
<Data Name="TargetDomainName">CONTOSO</Data>
<Data Name="TargetLogonId">0x136f7b</Data>
<Data Name="LogonType">3</Data>
<Data Name="EventIdx">1</Data>
<Data Name="EventCountTotal">1</Data>
<Data Name="UserClaims">ad://ext/cn:88d2b96fdb2b4c49 <%%1818> : "dadmin" ad://ext/Department:88d16a8edaa8c66b <%%1818> : "IT"</Data>
<Data Name="DeviceClaims">-</Data>
</EventData>
</Event>
所需的服务器角色: 无。
最低 OS 版本: Windows Server 2012、Windows 8。
事件版本: 0。
字段描述:
主题:
- 安全 ID [Type = SID]: 报告有关声明信息的帐户的 SID。 事件查看器会自动尝试解析 SID 并显示帐户名。 如果无法解析 SID,将在事件中看到源数据。
注意 安全标识符 (SID) 是用于识别受信者(安全主体)的可变长度的唯一值。 每个帐户都有一个由权威机构(例如 Active Directory 域控制器)颁发并存储在安全性数据库中的唯一 SID。 每次用户登录时,系统都会从数据库中检索该用户的 SID,并将其放在该用户的访问令牌中。 系统使用访问令牌中的 SID 来标识所有后续与 Windows 安全的交互的用户。 SID 用作用户或组的唯一标识符后,不能再次用于识别其他用户或组。 有关 SID 的更多信息,参见安全标识符。
帐户名称 [Type = UnicodeString]: 报告有关声明信息的帐户的名称。
账户域 [Type = UnicodeString]: 使用者域或计算机名称。 格式各不相同,包括以下内容:
域 NETBIOS 名称示例: CONTOSO
小写完整域名: contoso.local
大写完整域名:CONTOSO.LOCAL
对于某些众所周知的安全主体,例如 LOCAL SERVICE 或 ANONYMOUS LOGON,此字段的值为 “NT AUTHORITY”。
对于本地用户帐户,此字段将包含此帐户所属的计算机或设备的名称,例如:“Win81”。
登录 ID \ [Type = HexInt64 ]: 十六进制值,可帮助您将此事件与可能包含相同登录 ID 的最新事件(例如,"4624:帐户已成功登录")相关联。
登录类型 [Type = UInt32]: 已执行的登录类型。 下表包含此字段的可能值列表:
| 登录类型 | 登录标题 | 描述 |
|---|---|---|
| 2 | 交互 | 登录到此计算机的用户。 |
| 3 | 网络 | 从网络登录到此计算机的用户或计算机。 |
| 4 | 批处理 | 批处理登录类型由批处理服务器使用,其中进程可以代表用户执行,而无需用户直接干预。 |
| 5 | 服务 | 服务控制管理器已启动服务。 |
| 7 | 解除锁定 | 已解锁此工作站。 |
| 8 | NetworkCleartext | 从网络登录到此计算机的用户。 用户的密码以未经过哈希处理的形式传递给验证包。 内置的身份验证将所有哈希凭证打包,然后再通过网络发送它们。 凭据不会以纯文本(也称为明文)形式遍历网络。 |
| 9 | NewCredentials | 调用方克隆了其当前令牌并为出站连接指定了新凭据。 新登录会话具有相同的本地标识,但对其他网络连接使用不同的凭据。 |
| 10 | RemoteInteractive | 使用终端服务或远程桌面远程登录到此计算机的用户。 |
| 11 | CachedInteractive | 使用存储在计算机上的本地网络凭据登录到此计算机的用户。 未联系域控制器以验证凭据。 |
新建登录:
- 安全 ID [Type = SID]: 为其执行登录的帐户的 SID。 事件查看器会自动尝试解析 SID 并显示帐户名。 如果无法解析 SID,将在事件中看到源数据。
注意 安全标识符 (SID) 是用于识别受信者(安全主体)的可变长度的唯一值。 每个帐户都有一个由权威机构(例如 Active Directory 域控制器)颁发并存储在安全性数据库中的唯一 SID。 每次用户登录时,系统都会从数据库中检索该用户的 SID,并将其放在该用户的访问令牌中。 系统使用访问令牌中的 SID 来标识所有后续与 Windows 安全的交互的用户。 SID 用作用户或组的唯一标识符后,不能再次用于识别其他用户或组。 有关 SID 的更多信息,参见安全标识符。
帐户名称 [Type = UnicodeString]: 为其执行登录的帐户的名称。
账户域 [Type = UnicodeString]: 使用者域或计算机名称。 格式各不相同,包括以下内容:
域 NETBIOS 名称示例: CONTOSO
小写完整域名: contoso.local
大写完整域名:CONTOSO.LOCAL
对于某些众所周知的安全主体,例如 LOCAL SERVICE 或 ANONYMOUS LOGON,此字段的值为 “NT AUTHORITY”。
对于本地用户帐户,此字段将包含此帐户所属的计算机或设备的名称,例如:“Win81”。
登录 ID \ [Type = HexInt64 ]: 十六进制值,可帮助您将此事件与可能包含相同登录 ID 的最新事件(例如,"4624:帐户已成功登录")相关联。
事件顺序 [Type = UInt32]:If 在一个事件中没有足够的空间来放置所有声明,你将在此字段中看到“1 个 N”,并且将生成其他事件。 通常,此字段具有“1/1”值。
用户声明 [Type = UnicodeString]: 新登录会话的用户声明列表。 如果用户帐户已登录,则此字段包含用户声明,如果计算机帐户已登录,则包含设备声明。 下面是一个如何分析此字段的入口的示例:
<ad://ext/cn:88d2b96fdb2b4c49 字符串>:“dadmin”
cn – 声明显示名称。
88d2b96fdb2b4c49 – 唯一声明 ID。
<字符串> - 声明类型。
“dadmin” – 声明值。
设备声明 [Type = UnicodeString]: 新登录会话的设备声明列表。 对于用户帐户,此字段通常具有“-”值。 对于计算机帐户,此字段列出了设备声明。
安全监控建议
对于 4626 (S) :用户/设备声明信息。
反馈
提交和查看相关反馈