Per toeval 'omdat ik een bliep hoorde' gewoon tijdens al een uur gebruik van de laptop, eens in de logs van mijn dagelijkse W11PRO laptopje gedoken.
Wat ik daar aantref vlak na mekaar baart me zorgen. Als ik op het net zoek, dan kom ik wel wat tegen, maar het beantwoordt op geen enkele wijze mijn vraag of dit normaal zou kunnen zijn. Ik neig ernaar om te denken van niet. Ik melde me zelf op dat moment (22:24 en 22:25) niet aan.
Specialisten hier die het kunnen duiden?
----------------------------------------------------------------------------------
Speciale bevoegdheden toegewezen aan nieuwe aanmelding.
Onderwerp:
Beveiligings-id: SYSTEM
Accountnaam: SYSTEM
Accountdomein: NT AUTHORITY
Aanmeldings-id: 0x3E7
Bevoegdheden: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege
:no_upscale():strip_icc():fill(white):strip_exif()/f/image/xjQnp6gsANCpewFo2buzMegh.jpg?f=user_large)
------------------------------------------------------------------------------------------------------------------------------
en:
Er is een account aangemeld.
Onderwerp:
Beveiligings-id: SYSTEM
Accountnaam: AC-STRBTCH-LNV$
Accountdomein: WORKGROUP
Aanmeldings-id: 0x3E7
Aanloggegevens:
Aanmeldingstype: 5
Beperkte beheermodus: -
Externe Credential Guard: -
Virtueel account: Nee
Verhoogd token: Ja
Impersonatieniveau: Imitatie
Nieuwe aanmelding:
Beveiligings-id: SYSTEM
Accountnaam: SYSTEM
Accountdomein: NT AUTHORITY
Aanmeldings-id: 0x3E7
Gekoppelde aanmeldings-id: 0x0
Netwerkaccountnaam: -
Netwerkaccountdomein: -
Aanmeldings-GUID: {00000000-0000-0000-0000-000000000000}
Procesgegevens:
Proces-id: 0x604
Procesnaam: C:\Windows\System32\services.exe
Netwerkgegevens:
Werkstationnaam: -
Bronnetwerkadres: -
Bronpoort: -
Gedetaileerde verificatiegegevens:
Aanmeldingsproces: Advapi
Authenticatiepakket: Negotiate
Doorgezette services: -
Pakketnaam (alleen NTLM): -
Sleutellengte: 0
Deze gebeurtenis wordt gegenereerd wanneer een aanmeldingssessie wordt gemaakt. De gebeurtenis wordt gegenereerd op de computer waartoe toegang is verkregen.
De onderwerpvelden geven het account aan op het lokale systeem dat de aanmelding heeft aangevraagd. Dit is meestal een service zoals de Server-service of een lokaal proces zoals Winlogon.exe of Services.exe.
Het veld aanmeldingstype geeft het soort aanmelding aan die plaatsvond. De meestvoorkomende typen zijn 2 (interactief) en 3 (netwerk).
De velden Nieuwe aanmelding geven het account aan voor wie de nieuwe aanmelding is gemaakt, dat is het account dat is aangemeld.
De netwerkvelden geven aan waar een externe aanmeldingsaanvraag vandaan komt. De naam van het werkstation is niet altijd beschikbaar en kan in sommige gevallen leeg zijn.
Het veld imitatieniveau geeft aan in hoeverre een proces in de aanmeldingssessie kan worden geïmiteerd.
De velden met verificatiegegevens bieden gedetailleerde informatie over deze specifieke aanmeldingsaanvraag.
- De aanmeldings-GUID is een unieke id die kan worden gebruikt om deze gebeurtenis te correleren met een KDC-gebeurtenis.
- Doorgezette services geven aan welke tussenliggende services hebben deelgenomen aan deze aanmeldingsaanvraag.
- Pakketnaam geeft aan welk subprotocol van de NTLM-protocollen is gebruikt.
- Sleutellengte geeft de lengte van de gegenereerde sessiesleutel aan. Dit is 0 als er geen sessiesleutel is aangevraagd.
Wat ik daar aantref vlak na mekaar baart me zorgen. Als ik op het net zoek, dan kom ik wel wat tegen, maar het beantwoordt op geen enkele wijze mijn vraag of dit normaal zou kunnen zijn. Ik neig ernaar om te denken van niet. Ik melde me zelf op dat moment (22:24 en 22:25) niet aan.
Specialisten hier die het kunnen duiden?
----------------------------------------------------------------------------------
Speciale bevoegdheden toegewezen aan nieuwe aanmelding.
Onderwerp:
Beveiligings-id: SYSTEM
Accountnaam: SYSTEM
Accountdomein: NT AUTHORITY
Aanmeldings-id: 0x3E7
Bevoegdheden: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege
------------------------------------------------------------------------------------------------------------------------------
en:
Er is een account aangemeld.
Onderwerp:
Beveiligings-id: SYSTEM
Accountnaam: AC-STRBTCH-LNV$
Accountdomein: WORKGROUP
Aanmeldings-id: 0x3E7
Aanloggegevens:
Aanmeldingstype: 5
Beperkte beheermodus: -
Externe Credential Guard: -
Virtueel account: Nee
Verhoogd token: Ja
Impersonatieniveau: Imitatie
Nieuwe aanmelding:
Beveiligings-id: SYSTEM
Accountnaam: SYSTEM
Accountdomein: NT AUTHORITY
Aanmeldings-id: 0x3E7
Gekoppelde aanmeldings-id: 0x0
Netwerkaccountnaam: -
Netwerkaccountdomein: -
Aanmeldings-GUID: {00000000-0000-0000-0000-000000000000}
Procesgegevens:
Proces-id: 0x604
Procesnaam: C:\Windows\System32\services.exe
Netwerkgegevens:
Werkstationnaam: -
Bronnetwerkadres: -
Bronpoort: -
Gedetaileerde verificatiegegevens:
Aanmeldingsproces: Advapi
Authenticatiepakket: Negotiate
Doorgezette services: -
Pakketnaam (alleen NTLM): -
Sleutellengte: 0
Deze gebeurtenis wordt gegenereerd wanneer een aanmeldingssessie wordt gemaakt. De gebeurtenis wordt gegenereerd op de computer waartoe toegang is verkregen.
De onderwerpvelden geven het account aan op het lokale systeem dat de aanmelding heeft aangevraagd. Dit is meestal een service zoals de Server-service of een lokaal proces zoals Winlogon.exe of Services.exe.
Het veld aanmeldingstype geeft het soort aanmelding aan die plaatsvond. De meestvoorkomende typen zijn 2 (interactief) en 3 (netwerk).
De velden Nieuwe aanmelding geven het account aan voor wie de nieuwe aanmelding is gemaakt, dat is het account dat is aangemeld.
De netwerkvelden geven aan waar een externe aanmeldingsaanvraag vandaan komt. De naam van het werkstation is niet altijd beschikbaar en kan in sommige gevallen leeg zijn.
Het veld imitatieniveau geeft aan in hoeverre een proces in de aanmeldingssessie kan worden geïmiteerd.
De velden met verificatiegegevens bieden gedetailleerde informatie over deze specifieke aanmeldingsaanvraag.
- De aanmeldings-GUID is een unieke id die kan worden gebruikt om deze gebeurtenis te correleren met een KDC-gebeurtenis.
- Doorgezette services geven aan welke tussenliggende services hebben deelgenomen aan deze aanmeldingsaanvraag.
- Pakketnaam geeft aan welk subprotocol van de NTLM-protocollen is gebruikt.
- Sleutellengte geeft de lengte van de gegenereerde sessiesleutel aan. Dit is 0 als er geen sessiesleutel is aangevraagd.
:strip_icc():strip_exif()/u/37767/crop6580b1fac90ae_cropped.jpg?f=community)
:strip_icc():strip_exif()/u/44964/crop5ddd7e78872f0_cropped.jpeg?f=community)
/u/365254/crop62e2919a741c0.png?f=community)